WO2024029666A1 - Email security system for blocking and responding to targeted email attack and operation method therefor - Google Patents

Email security system for blocking and responding to targeted email attack and operation method therefor Download PDF

Info

Publication number
WO2024029666A1
WO2024029666A1 PCT/KR2022/019497 KR2022019497W WO2024029666A1 WO 2024029666 A1 WO2024029666 A1 WO 2024029666A1 KR 2022019497 W KR2022019497 W KR 2022019497W WO 2024029666 A1 WO2024029666 A1 WO 2024029666A1
Authority
WO
WIPO (PCT)
Prior art keywords
email
mail
information
security threat
threat
Prior art date
Application number
PCT/KR2022/019497
Other languages
French (fr)
Korean (ko)
Inventor
김충한
Original Assignee
(주)기원테크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020220151268A external-priority patent/KR20240019670A/en
Application filed by (주)기원테크 filed Critical (주)기원테크
Publication of WO2024029666A1 publication Critical patent/WO2024029666A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Definitions

  • the present invention relates to an email security system and method of operating the same for blocking and responding to targeted email attacks.
  • These targeted email attacks unlike spam phishing attacks that target an unspecified number of people, include attacks that target individuals or companies and then target specific people to damage or damage the target's information assets.
  • threat actors gather information and create realistic-looking personalized email messages to persuade targets to respond, ultimately creating a security hole.
  • targeted attacks used on incoming (inbound) and outgoing (outbound) emails use header forgery, pseudo-email addresses, or account takeover (ATO) to attach unknown, intelligent malware or send messages from legitimate senders trusted by the target.
  • ATO account takeover
  • the present invention was created to solve the problems described above, and effectively blocks targeted email attacks through a step-by-step targeted email attack threat inspection process for inbound and outbound mail, and provides an appropriate response process and diagnosis.
  • the purpose is to provide an email security system device and operation method for blocking and responding to targeted email attacks that can provide reporting.
  • the method of operating an email security system includes targeting email security threat information constructed by performing a targeted email security threat check of incoming mail, and targeting email security threat information of outgoing mail.
  • the inspection includes at least one of a spam attack threat inspection targeting a specific email account, a malware email attack threat inspection, a social engineering email attack threat inspection, and an email information leakage threat inspection using the security threat information synchronization data.
  • a service providing device using an email security system includes targeted email security threat information constructed by performing a targeted email security threat check of incoming emails, and information on outgoing emails.
  • a security threat information synchronization processing unit that synchronizes targeted email security threat information configured according to the performance of a targeted email security threat scan to form security threat information synchronization data;
  • a targeted email security threat inspection unit that uses the security threat information synchronization data to perform a targeted email security threat inspection corresponding to newly received or newly sent mail;
  • a mail processing unit that performs targeted email security threat response processing according to the targeted email security threat inspection of the new received mail or the new sent mail, and targeted email security corresponding to the new received mail or the new sent mail.
  • the threat check includes at least one of a spam attack threat check targeting a specific email account, a malware email attack threat check, a social engineering email attack threat check, and an email information leakage threat check using the security threat information synchronization data.
  • the method according to an embodiment of the present invention for solving the above-described problem may be implemented with a computer-readable recording medium for executing the method on a computer and a computer program stored in the recording medium.
  • targeted email security threat information configured according to the performance of a targeted email security threat check of incoming mail and targeted email security threat information configured according to the performance of a targeted email security threat check of outgoing mail are synchronized.
  • security threat information synchronization data By configuring security threat information synchronization data and using the security threat information synchronization data, a targeted email security threat check corresponding to new incoming or new outgoing mail is performed step by step, thereby creating an effective targeted email attack threat. Can handle inspection process.
  • the present invention is a targeted email attack that can effectively block targeted email attacks and provide appropriate diagnostic reporting and response processes through a step-by-step targeted email attack threat inspection process for inbound and outbound mail.
  • An email security system device and method of operation for blocking and responding to attacks can be provided.
  • FIG. 1 is a conceptual diagram schematically showing the entire system according to an embodiment of the present invention.
  • Figure 2 is a block diagram for explaining a service providing device according to an embodiment of the present invention.
  • 3 and 4 are block diagrams to explain in more detail some configurations of a service providing device according to an embodiment of the present invention.
  • Figures 5 and 6 are flowcharts for explaining a service process using a system according to an embodiment of the present invention.
  • Figure 7 is a diagram for explaining a large file leak detection process according to an embodiment of the present invention.
  • Figure 8 is a ladder diagram to explain a policy-based approval process for large files according to an embodiment of the present invention.
  • block diagrams herein should be understood as representing a conceptual view of an example circuit embodying the principles of the invention.
  • all flow diagrams, state transition diagrams, pseudo-code, etc. are understood to represent various processes that can be substantially represented on a computer-readable medium and are performed by a computer or processor, whether or not the computer or processor is explicitly shown. It has to be.
  • processor control, or similar concepts should not be construed as exclusively referring to hardware capable of executing software, and should not be construed as referring exclusively to hardware capable of executing software, including, without limitation, digital signal processor (DSP) hardware, and ROM for storing software. It should be understood as implicitly including ROM, RAM, and non-volatile memory. Other hardware for public use may also be included.
  • DSP digital signal processor
  • 'mail' refers to electronic mail, web mail, e-mail, Terms such as e-mail can be used collectively.
  • FIG. 1 is a conceptual diagram showing the entire system according to an embodiment of the present invention.
  • a system includes a service providing device 100, a user terminal 200, and a mail server 300.
  • the service providing device 100, the user terminal 200, and the mail server 300 can be connected to one or more of wired and wireless channels through a connection to a public network to transmit and receive data.
  • the above-mentioned public network is a communication network built and managed by the state or a telecommunications carrier, and generally includes a telephone network, data network, CATV network, and mobile communication network, and provides connection services so that an unspecified number of ordinary people can access other communication networks or the Internet. .
  • the public network is replaced with network.
  • the service providing device 100, user terminal 200, and mail server 300 may include respective communication modules for communicating using protocols corresponding to each communication network.
  • the service providing device 100 can be connected to each user terminal 200 and the mail server 300 through a wired/wireless network to provide mail security and diagnosis services, and devices or terminals connected to each network are preset. Mutual communication can be performed through network channels.
  • each of the above networks is a local area network (LAN), a wide area network (WAN), a value added network (VAN), a personal area network (PAN), and a mobile communication network ( It can be implemented with any type of wired/wireless network, such as a mobile radio communication network or satellite communication network.
  • LAN local area network
  • WAN wide area network
  • VAN value added network
  • PAN personal area network
  • mobile communication network It can be implemented with any type of wired/wireless network, such as a mobile radio communication network or satellite communication network.
  • the service providing device 100 described in this specification provides a mail security service that can detect and block attacks that cause execution of unintended programs through mail, deterioration of the data processing ability of mail-related systems, phishing scams, etc. can do.
  • the service providing device 100 provides targeted email security threat information configured according to the performance of a targeted email security threat check of incoming mail and targeted email security threat information configured according to the performance of a targeted email security threat check of outgoing mail.
  • targeted email security threat information configured according to the performance of a targeted email security threat check of incoming mail
  • targeted email security threat information configured according to the performance of a targeted email security threat check of outgoing mail.
  • the targeted email security threat scan corresponding to the newly received or newly sent email includes spam attack threat screening targeting a specific email account using the security threat information synchronization data, malicious code email attack threat screening, and social threat screening. It may include at least one of an engineered email attack threat scan and an email information leakage threat scan, and processes targeted email scans according to a predefined step-by-step scan process in response to the security level, and the processed scan data is the security threat information. It can be used to update synchronization data.
  • the service providing device 100 uses security threat information synchronization data and targeted email inspection processing information to perform an email diagnosis process based on quantitative analysis of email security threats responding to targeted email attacks,
  • a mail diagnosis service that provides diagnostic reporting based on the diagnostic process can be provided to each email system user terminal 200.
  • the user terminal 200 described in this specification includes a personal computer (PC), a laptop computer, a mobile phone, a tablet PC, a personal digital assistant (PDA), and a portable multimedia player (PMP). ), etc. may be included, but the present invention is not limited thereto, and may be a device that can be connected to the service providing device 100 and the mail server 300, etc. through a public network or private network.
  • PC personal computer
  • laptop computer a mobile phone
  • PDA personal digital assistant
  • PMP portable multimedia player
  • each device may be a variety of devices capable of inputting and outputting information through application operation or web browsing.
  • user terminals 200 may be connected to the service providing device 100 through an individual security network.
  • the mail server 300 is a system that relays and stores e-mail contents so that a user can send an e-mail written through the user terminal 200 or receive an e-mail written by the other party through the user terminal 200.
  • the mail server 300 can communicate with each other using a preset protocol according to the purpose of processing mail reception and transmission.
  • the above protocols may include POP3 (Post Office Protocol 3) and IMAP (Internet Message Access Protocol) when processing mail reception.
  • the protocol may be SMTP (Simple Mail Transfer Protocol) used when sending and processing mail.
  • the mail server 300 may be configured and operate as a server system for sending and receiving mail. Additionally, the mail server 300 can be divided into a mail receiving server and a mail sending server to provide respective functions.
  • Figure 2 is a block diagram for explaining a service providing device according to an embodiment of the present invention
  • Figures 3 and 4 are block diagrams for explaining in more detail some configurations of a service providing device according to an embodiment of the present invention. .
  • the service providing device 100 includes a control unit 110, an inspection data collection unit 120, a targeted email security threat inspection unit 130, and security threat information. It includes a synchronization processing unit 140, an incoming mail processing unit 150, an outgoing mail processing unit 160, a record management unit 170, a diagnostic reporting unit 180, and a communication unit 125.
  • the control unit 110 may be implemented with one or more hardware processors to overall control the operation of each component of the service providing device 100.
  • the communication unit 125 may include one or more communication modules for communicating with a network where the user terminal 200 or the mail server 300 is located.
  • the inspection data collection unit 120 may collect mail information transmitted and received between one or more user terminals 200 through the mail server 300.
  • the mail information may include email header information, email title, email content body, number of receptions over a certain period of time, etc.
  • the email header information includes mail sending server IP address, mail sending server host name information, sender mail domain information, sender mail address, mail receiving server IP address, mail receiving server host name information, recipient mail domain information, and recipient mail. It may include address, mail protocol information, mail reception time information, mail sending time information, etc.
  • the email header may include network path information necessary in the process of sending and receiving mail, protocol information used between mail service systems for mail exchange, etc.
  • the mail information may include the extension of the attached file, hash information of the attached file, the attached file name, the body of the attached file content, and URL (Uniform Resource Locator) information.
  • the attached file may contain additional content to convey additional information or request a response to the information in addition to the content of the email body that the sender wishes to convey to the recipient.
  • the content may provide text, images, videos, etc.
  • the recipient can check the content by running the application corresponding to the file attached to the email. Additionally, recipients can download and store and manage files attached to emails to a local storage device.
  • the extension of the attached file can distinguish the format or type of the file.
  • the extension of the attached file can generally be classified into a string indicating the file's attributes or the application that created the file.
  • text files can be classified by extensions such as [file name].txt, MS Word files by [file name].doc(docx), and Hangul files by [file name].hwp.
  • image files may have extensions such as gif, jpg, png, and tif.
  • executable files which are computer files that perform instructions according to coded commands, include [file name].com, [file name].exe, [file name].bat, [file name].dll, [file name].sys, [ [File name].scr, etc.
  • the hash information of the attached file can ensure the integrity of the information by confirming forgery and alteration of the information.
  • Hash information or hash values can be mapped to arbitrary data of arbitrary length into a bit string of a certain length through a hash function.
  • the hash information output through the hash function for the initially created attached file has a unique value.
  • the output hash information or hash value has a one-way nature that makes it impossible to extract data input to the function.
  • the hash function can guarantee collision avoidance, which is computationally impossible for another input data that provides the same output as the hash information or hash value output for one given input data. Accordingly, when the data in the attached file is modified or added, the output value of the hash function is returned differently.
  • the unique hash information of the attached file can be used to check whether the file has been modified or forged by comparing the hash information or hash value of the file sent and received through email. Additionally, since the hash information is fixed to a unique value, it is possible to take proactive quarantine measures by utilizing reputation information, which is a database of past history of files created with malicious intent. Additionally, the hash function can be used in technologies and versions that can guarantee one-way and collision avoidance.
  • hash information can be used as search information for the presence or absence of malicious code in a file through the Virus Total website or the Malwares website. You can receive information such as the file provider and the hash value of the file through a website that provides hash information analysis of the file.
  • search results for file hash information can be judged as more reliable information by cross-checking reputation information determined by global companies that provide multiple IT information security solutions.
  • the targeted email security threat inspection unit 130 processes step-by-step matching of the mail security inspection process corresponding to the mail information according to a preset targeted email security threat inspection process, and detects the mail by the matched mail security process. Information can be inspected, and mail security inspection information according to the inspection results can be stored and managed.
  • the targeted email security threat screening process includes spam attack threat screening targeting a specific email account using the security threat information synchronization data in response to new incoming mail or new outgoing email, It may include at least one of a malware email attack threat scan, a social engineering email attack threat scan, and an email information leakage threat scan.
  • different email security processes corresponding to new incoming mail or new outgoing mail may be determined. Additionally, the inspection target, inspection order, or inspection method of the mail security process may be determined in advance by synchronized security threat information synchronization data.
  • the targeted email security threat inspection process allocates independently separated processes as resources when mail information for reception (inbound) or transmission (outbound) is transmitted from the user terminal 200, and It can be executed immediately in the inspection area.
  • the flexible resource allocation method can be explained with the concept of virtual space. In the method of allocating resources to the virtual space, the mail security process can immediately process work in the assigned inspection area from sequentially incoming mail information upon completion of processing.
  • the targeted email security threat inspection unit 130 can classify mail for reception or sending purposes according to the mail information collected by the inspection data collection unit 120. Afterwards, the targeted email security threat inspection unit 130 can obtain targeted email security inspection information for each mail by matching and analyzing the mail security processes sequentially or based on a set priority.
  • the targeted email security threat inspection unit 130 can inspect not only email threat types using malicious code but also types of attacks without malicious code.
  • Specific types of targeted email attacks include not only malware attacks, but also social engineering attacks such as impersonation and account takeover, which can also include unintentional or intentional information leak attacks.
  • the targeted email security threat inspection unit 130 includes a spam attack threat inspection unit 131, a malicious code attack threat inspection unit 133, and a social engineering attack threat inspection unit 135 to detect each type of attack in stages. and an information leak inspection unit 137.
  • the targeted email security threat inspection unit 130 may use the security threat information synchronization data preconfigured in the security threat information synchronization processing unit 140.
  • the security threat information synchronization processing unit 140 provides targeted email security threat information configured according to the performance of a targeted email security threat check of incoming mail, and targeted email security threat information configured according to the performance of a targeted email security threat check of outgoing mail. By synchronizing security threat information, you can configure security threat information synchronization data.
  • the security threat information synchronization data may include malicious file information and identification information on malicious accounts collected from each inspection process and an external security server, and may include a target configured according to the performance of a targeted email security threat inspection of incoming mail. It can be configured by synchronizing type email security threat information and targeted email security threat information configured according to the performance of targeted email security threat inspection of outgoing mail.
  • the security threat information synchronization data may include file information that was scanned as having a high malicious threat level in a targeted email security threat scan of a specific incoming email, or sender account information that was scanned as having a high possibility of impersonation or account takeover. You can.
  • the security threat information synchronization data may include file information that was inspected as having a high information leakage threat level in a targeted email security threat inspection of a specific outgoing mail, or recipient account information that was inspected as having a high possibility of impersonation or account takeover. You can.
  • the security threat information synchronization data may include similar domain inspection information including email account and domain information detected to be associated with a similar domain attack.
  • the security threat information synchronization data may include account takeover attack inspection information including email account and domain information detected to be associated with the account takeover attack.
  • the security threat synchronization data includes zero-day URL attack inspection information that changes the redirection path information of the URL link after the email receipt date, and malicious attacks that use the system security vulnerability after it is discovered and before a patch to prevent it is released. May include zero-day malware scanning information to address code or hacking attacks.
  • the security threat synchronization data may further include delivery routing information including email server information, destination information, and sender information.
  • the security threat information synchronization data can be continuously updated using inspection data processed in each processing unit of the targeted email security threat inspection unit 130, thereby providing integrated security of the sending and receiving security systems. It is manageable and can effectively prevent internal system damage or information leakage to the outside due to targeted email attacks.
  • This security threat information synchronization data is information inspected in each security inspection process to be described later, and includes unknown malicious code information, attachment malicious code information, URL malicious code information, header forgery information, similar domain information, account takeover information, and URL. Examples may include phishing information, intentional information leakage information, unintentional information leakage information, and unauthorized email server access information.
  • the targeted email security threat inspection unit 130 may include a spam mail inspection unit 131.
  • the spam mail inspection unit 131 combines the mail information, including mail header information, mail title, mail content body, number of receptions during a certain period, etc. with preset spam indicators and step-by-step spam indicators. You can match with .
  • the spam mail security threat may include a type of mail that is indiscriminately distributed unilaterally and in large quantities to an unspecified number of people for the purpose of advertising and promotion between unrelated senders and recipients. Additionally, large amounts of spam mail can place a load on the data processing capacity of the mail system, which may cause the system's processing capacity to deteriorate. Additionally, there is a risk that spam emails may unintentionally connect users to indiscriminate information contained in the content and may be disguised as information for potential phishing scams.
  • the spam mail inspection unit 131 can use mail information, including mail header information, mail title, and mail content body, as a check item in the spam indicator by checking a certain pattern that can be classified as spam mail. Through this, the spam mail inspection unit 131 can acquire, store, and manage spam mail inspection information by matching the spam indicators step by step.
  • the targeted email security threat inspection unit 130 may further include a malicious code attack threat inspection unit 132.
  • Malicious code can access the memory of the victim's computer system and damage or delete files and programs.
  • malware attacks that are subject to targeted email security threat inspection can be broadly divided into three types.
  • the malware attack threat inspection unit 133 can check the synchronized security threat information synchronization data for performing the inspection process for each attack type, and sends the inspection data according to the inspection results to the security threat information synchronization processing unit 140. It can be processed again to update the security threat information synchronization data.
  • the type of attack for unknown malicious code refers to an attack using new, unknown malicious code that is difficult to detect in anti-virus tests because it is not registered in the big data database.
  • attackers exploit zero-day vulnerabilities to distribute malicious code by redirecting the access path of URL links or attachments in emails after a certain time, not on the day of sending, to create new malicious code that cannot be detected by security solutions. You can insert an attachment containing code and send an email encouraging users to click.
  • malware attacks in attachments are a type of threat in which attackers hide malicious code inside files that attackers usually send by email.
  • Attachments in these malicious emails include documents, compiled and executable files, and even images and files. It can be disguised as a video file, or it can be an encrypted file using a different extension.
  • attacks using executable files may include forging the sender's address to trick recipients into opening an email containing a malicious document, or inserting malicious code into an image and attaching it to the body of the email.
  • a malicious code attack using a URL may be a type of attack that inserts a clickable link containing malicious code into an email with the purpose of luring the user to a malicious website.
  • Malicious URLs can be included in large attachments or in the body of an email, which can also include attacks that cause malicious code to be executed only when delivered, as well as when the user clicks on the URL of the email or regular attachment.
  • the malicious code attack threat inspection unit 132 further includes the hash information of the attached file, the attached file name, the body of the attached file content, and URL (Uniform Resource Locator) information. Information can be matched step by step with preset malware indicators.
  • the malicious code attack threat inspection unit 132 detects the attachment file extension, hash information of the attached file, attached file name, etc., which can be confirmed by the attribute value of the attached file, as well as the body of the attached file and the URL (Uniform Resource Locator) included in the content.
  • the information can be used as a malware indicator inspection item.
  • the malware attack threat inspection unit 132 matches the malware indicators step by step according to each type and item to obtain malware inspection information, stores and manages it through the record management unit 170, and provides security. It can be provided to the threat information synchronization processing unit 140 to process the update of security threat information synchronization data.
  • the malicious code indicator can be set to a level value through inspection items and inspection based on items included in the mail information at each stage, and each inspection level value can be updated according to the above-mentioned security threat information synchronization data.
  • the malware indicator Level 1 can match the attachment file name and extension of the attachment included in mail information based on big data and reputation information obtained from security threat information synchronization data. Through this, the Malicious Code Index Level 1 can obtain the evaluated level value as inspection information for Malicious Code Index Level 1.
  • the inspection information of the malicious code indicator level 1 is defined as malicious code in the big data and reputation information when the attachment file name, which is a inspection item, includes 'Trojan' and the extension of the attachment file is 'exe'. If it matches the information, it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of Malicious Code Index Level 1 can be obtained as '1'.
  • the malware indicator Level 2 can match hash information of email attachments based on big data and reputation information obtained from security threat information synchronization data.
  • the evaluated level value can be obtained as inspection information for Malicious Code Index Level 2.
  • the inspection information of Malicious Code Index Level 2 is divided into levels of 0 and 1 when the hash information of the attached file, which is a inspection item, is analyzed as 'a1b2c3d4' and matches the information defined as malicious code in the reputation information. The value may be evaluated as '1'. Through this, the inspection information of Malicious Code Index Level 2 can be obtained as '1'.
  • the malware indicator level 3 can match URL (Uniform Resource Locator) information included in the attached file or email content based on URL reputation information obtained from security threat information synchronization data.
  • URL Uniform Resource Locator
  • the evaluated level value can be obtained as inspection information for Malicious Code Index Level 3.
  • the URL reputation information is defined as a harmful site containing malicious code files. If it matches, it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of Malicious Code Index Level 3 can be obtained as '1'.
  • the malware attack threat inspection unit 132 can respond to zero-day attacks that may be omitted from URL reputation information.
  • the malicious code attack threat inspection unit 132 may change the link IP address for a URL without reputation information to the IP address of a specific system and provide the changed IP address to the user terminal 200.
  • the user terminal 200 attempts to access the URL, it can be connected to the IP address of a specific system changed by the malicious code attack threat inspection unit 132.
  • a specific system that has previously changed the link IP address for the URL can continuously check whether the URL's endpoint contains malicious code.
  • the malware attack threat inspection unit 133 allows the administrator to classify and configure emails identified as malicious files through malware classification management using security threat information synchronization data to identify unknown malware. , Accordingly, even if the user requests retransmission, it can be processed to prevent viruses, etc. from being transmitted.
  • the malware attack threat inspection unit 133 can perform a multi-analysis test to check for unknown malware, and the multi-analysis test combines a static test and a dynamic test to determine the behavior of the malicious code on the system. By scanning, you can detect new viruses that were not detected in the first scan. Behavioral inspection results can be categorized into, for example, 'forgery', 'memory access', 'hooking warning', 'file creation', 'file deletion', and 'process execution', and the malware attack threat inspection department (133 ) can be used to update the security threat information synchronization data by examining the malware attack threat from the behavioral inspection result information and transmitting the inspection result to the security threat information synchronization processing unit 140.
  • the malware attack threat inspection unit 133 can perform a virus test consisting of three stages: the first test (vaccine test), the second test (environmental operating system change test), and the third test ( By processing the behavior-based analysis test) in stages, you can check for malware attack threats using the inspection results at each stage.
  • malware attack threat inspection unit 133 regularly checks all incoming (inbound) and outgoing (outbound) email data of users through cloud services in order to perform security threat information synchronization data and big data-based inspection. You can scan to extract malicious attachments that require further inspection.
  • the malware attack threat inspection unit 133 can determine whether there is a risk of a targeted email attack based on the security threat information synchronization data and the data constructed as big data in the security threat information synchronization processing unit 140.
  • the big data analysis function can identify and detect even forged extensions (e.g. .doc, .docx, .ppt, .pptx, .pdf, .txt, .rtf, etc.) as targets for malicious code analysis.
  • the malicious code attack threat inspection unit 133 may convert the URL data of the mail information delivered to the receiving mail processing unit 150 into an image. Accordingly, the URL link can be prevented from being opened in a dangerous detection environment where the attached malicious URL is recognized.
  • the malware attack threat inspection unit 133 can monitor potential risks through the aforementioned endpoint URL monitoring and continuously track and process the final destination of all URLs in the email body or document file.
  • the malware attack threat inspection unit 133 can track all URLs as interconnected nth URLs.
  • the malware attack threat inspection unit 133 checks the document file included in the email body from the URL, and in particular, in the case of large attachment files, even for large attachment files that are downloaded by bypassing the URL of the email body, after downloading Any URL to a malicious attachment or document file can be tracked.
  • the malware attack threat inspection unit 133 rechecks access to the URL in real time through file and endpoint scanning when the user attempts to click on the URL link after receiving the email, and restricts access when a risk is detected. Testing can be performed.
  • the resulting URL post-testing information can be updated in real time in the security threat information synchronization data, and the incoming mail processing unit 150 and the outgoing mail processing unit 160 refer to the URL post-testing results confirmed by this security threat information synchronization data.
  • processing such as blocking targeted email attacks and user notifications can be performed.
  • malware attack threat inspection unit 133 can perform image-based filtering to check for malware attacks, which can detect text malicious graphic images configured to avoid text-based filtering or malicious attachment filtering. there is.
  • the aggregated malicious code inspection information is provided to the security threat information synchronization processing unit 140 and can be used to update the security threat information synchronization data.
  • the targeted email security threat inspection unit 130 may further include a social engineering attack threat inspection unit 133.
  • the social engineering attack threat inspection unit 133 is executed when the mail security inspection process is a social engineering attack threat security process, and is obtained from mail information based on security threat information synchronization data and preset social engineering attack security threat items.
  • Engineering attack analysis data can be matched by item.
  • the social engineering attack analysis data can be obtained by performing an analysis process for each attack type corresponding to mail information.
  • the social engineering attack threat inspection unit 133 socializes the incoming mail domain, outgoing mail domain, incoming mail address, outgoing mail address, mail routing, and mail content body information that can be extracted from mail determined to be normal. It can be used as an engineered attack threat check item. Through this, the social engineering attack threat inspection unit 133 can perform a type check for each social engineering attack threat inspection item, and obtain, store, and manage social engineering attack threat inspection information.
  • the social engineering attack threat inspection unit 135 may perform header forgery inspection, similar domain inspection, account takeover inspection, and URL phishing inspection when performing an attack type inspection for each social engineering attack threat inspection item.
  • the header forgery check may include a check to detect forgery of email headers that would allow an attacker to bypass the mail destination in the user's reply. If the header is forged, there is a risk that an attacker can intercept general user emails that may contain company credentials and personal information.
  • the social engineering attack threat inspection unit 135 detects and blocks such header forgery attacks in advance through header forgery inspection. According to the inspection information of the social engineering attack threat inspection unit 135, the outgoing mail processing unit 160 may block in advance if the reply email address is different when replying to an incoming mail, or may perform a warning process to the sending user. For this processing, the social engineering attack threat inspection unit 135 may check in advance whether the email communication protocol is authenticated.
  • the social engineering attack threat inspection unit 135 verifies whether the sender's email complies with the communication protocol (e.g. SPF, DKIM, DMARC) and detects the forged sender in the email. The address can be detected.
  • the communication protocol e.g. SPF, DKIM, DMARC
  • the social engineering attack threat inspection unit 135 may manage the sender reputation of the IP address and domain and check whether the email address has a trustworthy domain.
  • the social engineering attack threat inspection unit 135 analyzes email header information and determines the sender header value (From: ⁇ id@domain>) and the reply address header value (Reply-To) of the inbound email. : You can check if ⁇ id@domain>) is different.
  • the social engineering attack threat inspection unit 135 may determine which parts of each header value are different and output step-by-step filtering results as inspection results. For example, in the case of ID forgery, if the 'ID' of the sender header value (From: ⁇ ABC@XYZ.com>) and the reply address header value (Reply-To: ⁇ BAC@XYZ.com>) are different emails. It may apply to Additionally, in the case of domain forgery, this applies to emails where the 'Domain' of the sender header value (From: ⁇ ABC@XYZ.com>) and the reply address header value (Reply-To: ⁇ ABC@YXZ.com>) are different. can do.
  • this may correspond to a case where the sender's address is a different email when replying, and in the case of signature forgery, this may correspond to a case where the signature part of the email content is a different email.
  • Similar domain checking is to check the type of attack in which an attacker sends a malicious email from an email address. It may include cases where the email address is similar enough to a normal sender to be indistinguishable from the human eye, but is an attacker's malicious domain. For example, the uppercase letter 'I' and the lowercase letter 'l' look similar and can be abused for attacks.
  • the social engineering attack threat inspection unit 135 can check whether the sender's email address or domain is a similar domain based on accumulated email history, and the incoming mail processing unit 150 notifies the user of the level of risk similarity. You can block the email.
  • the social engineering attack threat inspection unit 135 uses the email address of the email history accumulated and managed in the security threat information synchronization data, and the new email as a standard for determining whether a new email is a similar email fraud attack and the possibility of a social engineering attack threat.
  • Information on the number of letters that are similar but not identical can be used between email addresses included in the header information.
  • the social engineering attack threat inspection unit 135 determines that the possibility of a social engineering attack threat increases as the number of similar letters that are not identical to each other decreases, and calculates the judgment result as a risk level and outputs it as a test result. .
  • the email security manager can directly register suspected similar email addresses in the security threat information synchronization data, and if the email addresses are similar but only the TLD (top level domain) is different, they can be classified and managed separately.
  • the social engineering attack threat inspection unit 135 determines the domain information included in the header information of the new mail and the accumulated mail history of the security threat information synchronization data synchronized in the security threat information synchronization processing unit 140. By calculating the similarity between domain information, emails from similar domains containing the number of similar letters less than or equal to a specific character (for example, 3 letters) that are generally difficult for users to distinguish can be detected as social engineering attack threat emails.
  • a specific character for example, 3 letters
  • the incoming mail processing unit 150 or the outgoing mail processing unit 160 blocks reception or transmission of mail, delays reception or transmission of mail, deletes mail, or deletes mail according to the results of the social engineering attack threat test in response to new mail.
  • Targeted email security threat response processing including sending warning notification messages, can be performed.
  • the social engineering attack threat inspection unit 135 determines that the TLD (top level domain) of the sender domain of a new received email has some modifications compared to other existing mail history information included in the security threat information synchronization data. , if the string array is partially rearranged, or one of the strings is changed to a similar character or a different character, the social engineering attack threat level can be detected, and the detected threat level is sent to the receiving mail processing unit 150 as a result of the inspection. Can be printed.
  • the incoming mail processing unit 150 may selectively block reception of new incoming mail according to the threat level, process reception delay or deletion, and process user warning notification messages, etc., according to a preset similar domain processing policy.
  • the similar domain risk level of this social engineering attack threat is divided into five levels as shown below, depending on the degree of change in similar characters that do not match compared to other existing mail history information included in the security threat information synchronization data. It can be.
  • the social engineering attack threat inspection unit 135 uses the accumulated domain information obtained from the security threat information synchronization data by performing the similar domain check, and determines the sender domain included in the newly received mail in the accumulated domain information. You can perform an inspection process that checks whether it is similar to the included domain step by step, and outputs the risk level of similar domain attacks of social engineering attack threats divided into five stages as the inspection result as shown below. You can.
  • TLD level When the last segment of the email domain (e.g. .com, .net, .org, etc.) is changed to a similar character.
  • the email address alphabet consists only of similar characters that are difficult to distinguish (for example, l (lowercase el) and I (uppercase i))
  • the level of similarity is calculated step by step, and based on the degree of similarity based on the number of similar characters, the threat level of a similar domain-based social engineering email attack of the new sent mail or new received mail can be determined.
  • This similar domain-based social engineering email attack threat level information consists of targeted email security threat inspection data of new mail and is delivered to the incoming mail processing unit 150 or the outgoing mail processing unit 160, and the aforementioned mail corresponding thereto. blocking, delaying or deleting, and user alert notification processes may be performed.
  • the social engineering attack threat inspection unit 135 may perform an account takeover (ATO) check to detect a social engineering attack threat using an actual user's account.
  • ATO account takeover
  • an attacker can attempt to log into a stolen email account and then explore the user's email history to find confidential information and potential secondary victims. For example, an attacker can send an email requesting a change to a remittance account using account information stolen from a phishing site or transmit confidential information stored in the account to an external party.
  • the social engineering attack threat inspection unit 135 uses learning data for each account takeover inspection item obtained from the security threat information synchronization data of the security threat information synchronization processing unit 140. , you can perform an account takeover test to detect threats of social engineering attacks using account takeover.
  • the security threat information synchronization processing unit 140 may configure accumulated learning data for each account takeover test item, and according to artificial intelligence model learning processing between the configured learning data and email item data of the actual account takeover case, the new A learning model can be constructed that outputs the possibility of recognizing that the outgoing mail or the new received mail is sent by a stolen account.
  • the artificial intelligence model learning process is a known artificial intelligence deep learning neural network technology, and various known learning technologies such as CNN, DNN, RNN, LSTM, and regression analysis can be applied.
  • the social engineering attack threat inspection unit 135 applies the account takeover test item data of the newly sent email or the newly received email to the learning model of the accumulated learning data for each account takeover test item, thereby You can perform a screening process to check whether the email is sent by a hijacked account.
  • the security threat information synchronization processing unit 140 can learn the header structure information of mail information for account takeover inspection, and the social engineering attack threat inspection unit 135 can learn the configured header By entering header structure information of new incoming mail or new outgoing mail into the structure learning model, you can check the validity of the account takeover check.
  • This account takeover detection method includes comparative analysis between artificial intelligence-based learning records of past data about emails and current new data.
  • the social engineering attack threat inspection unit 135 may perform an account takeover inspection according to a preset inspection process using not only the learning model but also sender history information.
  • the accumulated learning data for each account takeover test item may include sender history information obtained from the mail header of an incoming or outgoing email, and the account takeover test of the social engineering attack threat inspection unit 135 includes, By comparing the accumulated learning data of the sender history information with the sender location information or sender IP information of the new sent mail or the new received mail, it is determined whether the new sent mail or the new received mail is sent by a hijacked account. It may include an inspection process to check whether or not.
  • the sender history information includes initial destination information, waypoint information, and final destination information, which are configured based on the mail sending IP and mail server IP, and the account takeover test is performed by: The account from which the new sent mail or the new received mail was stolen by comparing the initial destination information, waypoint information, or final destination information obtained from the header of the new sent mail or the new received mail. It may include an inspection process that checks whether the mail is sent by .
  • the security threat information synchronization processing unit 140 can cumulatively manage the sender's location information and IP history information by mapping them to the security threat information synchronization data, and the social engineering attack threat inspection unit 135 performs account takeover inspection. , By analyzing the header information of the mail information, it is possible to check whether the sender's location information and IP history information have changed.
  • the sender's location information and IP history information may include the sender's country information, sender IP address information, and server IP address information.
  • the header information of the email includes the IP information from which the email was first created and sent (initial destination information), the server IP address to which the email was delivered (waypoint information), and the server that ultimately sent the email. IP (final destination information) may be included.
  • the email header information is the IP address history of the sending server for mail transmission, and includes initial destination information, transit information, and final destination information.
  • the security threat information synchronization processing unit 140 includes the initial destination information in the security threat information synchronization data. It is possible to cumulatively manage the sender's location information and IP history information, including destination information, transit information, and final destination information, by mapping them.
  • the social engineering attack threat inspection unit 135 compares the initial destination information, transit information, and final destination information obtained from each cumulatively managed sender's location information and IP history information with the header information of the new mail to determine the sender's identity. You can check whether your account has been hijacked.
  • a decision to take over an account can be exemplified as follows.
  • the initial destination of the sender location and IP of the email included in the header information of the new email (IP address of the mail server from which the first email was requested) is changed to each cumulative managed sender's location information and IP history. If the country is identified as changed and different from the information (e.g., the cumulative managed sender's initial destination is 1.1.1.1 (Country A) and the final destination is 2.2.2.2 (Country A), the header of the new mail will be the initial destination. If the destination is 3.3.3.3 (Country B) and the final destination is 2.2.2.2 (Country A)
  • the final destination of the email sender location and IP included in the header information of the new email (the IP address of the mail server that last sent the email) is combined with each accumulated and managed sender location information. If it is identified as a changed country that is different from the IP history information (e.g., the cumulatively managed sender's transit point is 1.1.1.1 (Country A) and the final destination is 2.2.2.2 (Country A), the header of the new mail contains the transit point. is 3.3.3.3 (Country B), and the final destination is changed to 3.3.3.3 (Country B))
  • the social engineering attack threat inspection unit 135 may perform an account takeover attack inspection and transmit the inspection results to the incoming mail processing unit 150 and the outgoing mail processing unit 160.
  • the outgoing mail processing unit 160 may warn the user of the account takeover test results or block the outgoing email.
  • the receiving mail processing unit 150 may warn the user of the result of an account takeover test or block the email.
  • the social engineering attack threat inspection unit 135 may perform an inbound management function to block emails according to a specific band or IP band.
  • the social engineering attack threat inspection unit 135 may further perform URL phishing inspection.
  • URL phishing is an attack in which an attacker creates a phishing page or website to steal the victim's ID and password and induces the victim to enter account information through a malicious URL or file included in the email.
  • the social engineering attack threat inspection unit 135 tracks the final destination of the URL within the URL when an email user accesses the phishing site and enters the ID and password, and You can check whether a web page that encourages information entry is included.
  • the inspection information can be finally summed ('3') and stored and managed as social engineering attack threat inspection information.
  • the combined social engineering attack threat inspection information is transmitted to the security threat information synchronization processing unit 140 and can be used to update, store, and manage the security threat information synchronization data, and the incoming mail processing unit 150 and the outgoing mail processing unit ( 160) and can be used as security threat identification information.
  • the targeted email security threat inspection unit 130 may include an information leak inspection unit 137 to respond to internal information leakage security threats.
  • the information leak inspection unit uses the security threat information synchronization data and attribute information of mail information to check whether information is leaked in the outgoing mail, and transmits the inspection information to the outgoing mail processing unit 160 to block the sending, or Approval for transmission of outgoing mail through the mail server 300 may be processed to be rejected.
  • the information leakage inspection unit 137 can inspect information leakage, especially as a security threat of targeted email attacks caused by transmission by users.
  • the information leakage inspection unit 137 can detect intentional (intentional) information leakage. If the information leak inspection unit 137 matches the specific leak conditions corresponding to intentional (intentional) information leakage set by the security manager in response to the outgoing mail, it transmits the inspection information to the outgoing mail processing unit 160 and sends the mail. You can perform pending or blocking processing. In addition, the outgoing mail processing unit 160 may transmit, to the user terminal 200, a notification message that allows the sender to set a transmission delay time for the outgoing email, a warning notification message, etc., if a specific leakage condition is met. .
  • the information leakage inspection unit 137 detects unintentional (unintentional) information leakage and delivers the detection information to the outgoing mail processing unit 160 to block, warn, or delay unintentional information leakage. there is.
  • the information leakage inspection unit 137 detects cases where a user replies or sends an email address classified as a similar email address in malicious account data obtained from security threat synchronization data, configures unintentional information leakage information, and sends a message. It can be delivered to the mail processing unit 160.
  • the outgoing mail processing unit 160 may provide a warning, automatically block, or delay outgoing mail, depending on unintentional information leakage information.
  • the information leak inspection unit 137 converts large email attachments into general attachments to safely transmit large attachments to the external network in a security network where the internal and external networks are isolated, thereby establishing a network connection system. If passed, security risks can be checked to detect unintentional or intentional information leakage corresponding to the large attachment file.
  • security risks can be checked to detect unintentional or intentional information leakage corresponding to the large attachment file.
  • a large attachment file has been converted into a regular attachment file so that it can pass the approval of the network connection system.
  • a malicious file has been converted to a regular attachment file and inserted into the large attachment file.
  • This may include code scanning, virus scanning, and internal information leakage risk scanning.
  • the internal information leakage risk test may include an internal information leakage risk test that checks whether and how often specific security keywords or specific security phrases are included, according to preset security policy data.
  • the information leakage inspection unit 137 performs malware inspection, virus inspection, and internal information leakage risk when restoring a large attachment file converted and transferred from the external network to the internal network in a security network where the internal and external networks are isolated. Inspection can be performed. In particular, this may apply when the encrypted external network path information of a large attachment is attached as URL information, or a web page file that can access the encrypted external network path information of a large attachment is attached as a general attachment. .
  • the information leak detection unit 137 can encrypt the contents of the sent mail when the IP address that confirmed the mail, the number of times the mail was opened, etc. satisfy certain conditions, and the number of mails that have been sent can be individually determined. It is desirable that it be processed so that users cannot access it.
  • the incoming mail processing unit 150 and the outgoing mail processing unit 160 may process mail status according to the mail security check information and targeted email security threat determination information obtained through analysis of the mail information.
  • the incoming mail processing unit 150 and the outgoing mail processing unit 160 may determine whether the subsequent mail security process is stopped and process the mail status. Through this, the incoming mail processing unit 150 and the outgoing mail processing unit 160, if a problem is discovered in the inspection step first according to priority, performs only the necessary processing at that step and determines whether the inspection is completed to perform the subsequent inspection step. can be terminated without execution. Through this, the efficiency of mail security services can be secured, reducing system complexity and improving processing efficiency.
  • the mail security inspection information is information obtained by combining spam mail attack threat inspection information, malware attack threat inspection information, social engineering attack threat inspection information, and information leakage inspection information calculated by the targeted email security threat inspection unit 130. You can use .
  • the targeted email security threat inspection unit 130 performs a inspection process on mail information, and the score calculated with the spam mail inspection information is '3' and the score calculated with the malicious code attack threat inspection information is '3'. If the score calculated from '2', social engineering attack threat inspection information '1', and government leaked attack threat inspection information is '0', the score combined with targeted email attack threat inspection information can be obtained as '7'. there is.
  • the overall score is in the range of 0-3, it can be classified as normal mail, if it is in the range of 4-6, it can be classified as gray mail, and if it is in the range of 7-12, it can be classified as abnormal mail. Accordingly, an email with the mail security check information of '7' may be determined to be an abnormal email.
  • the result value of each inspection information item included in the mail information inspection information may be assigned an absolute priority depending on the item or may be prioritized according to weight.
  • the reception mail processing unit 150 is a mail distribution processing unit that processes mail determined as normal mail according to the security threat determination information into a reception or sending state that can be processed by the user terminal. It may include (151).
  • the received mail processing unit 150 may further include a mail discard processing unit 152 that processes mail determined as abnormal mail according to the security threat determination information in a state in which the user terminal cannot access the mail.
  • the received mail processing unit 150 converts the gray mail into non-executable file content for mail determined to be gray mail according to the security threat determination information and allows the user terminal to selectively process the mail status. It may further include a mail detoxification processing unit 153 provided.
  • the gray mail can be classified as spam mail or junk mail, or conversely, it can be classified as normal mail.
  • the gray mail can be defined as a type of mail that is distinguished when the security threat determination information is calculated as an intermediate value within a certain range that cannot be determined as normal or abnormal.
  • the mail detoxification processing unit 153 can convert gray mail containing the body of suspicious content into an image file and provide the mail in a state that can be checked by the user terminal 200. Additionally, the mail detoxification processing unit 153 can remove or modify sections suspected of being malicious code in the attached file and provide the file to the user terminal 200.
  • mail distribution processing unit 151 mail discard processing unit 152, and mail detoxification processing unit 153 can perform the same process on outgoing mail processed in the outgoing mail processing unit 160.
  • the outgoing mail processing unit 160 includes an outgoing mail approval system linking unit 161 and an outgoing mail filtering processing unit 161.
  • the outgoing mail approval system linkage unit 161 requests the mail approval system connected to the mail server 300 to reject mail approval when a security threat such as a targeted email attack such as information leakage is determined from the mail information of the outgoing mail. You can send messages or process warning notifications.
  • the outgoing mail approval system linkage unit 161 may be configured to transmit an email notifying the user of each processing status information when the security manager approves, rejects, or suspends the approval request through the mail approval system.
  • the outgoing mail approval system linkage unit 161 configures processing status information, including whether the administrator allows or rejects email transmission, into an email when a specific keyword requiring approval among the title, attachment, or file extension is detected. So, it can be sent to the sender’s account.
  • the outgoing mail approval system linkage unit 161 may set a limit on the maximum number of emails that can be sent at once by limiting email transmission to the mail approval system.
  • the outgoing mail approval system linkage unit 161 can maintain the status of the email server and account security by limiting the number of users who can send emails per day and the number of recipients per email.
  • outgoing mail filtering processing unit 161 may perform filtering processing such as discarding or rendering harmless the outgoing mail when a security threat of a targeted email attack such as malicious code is determined from the mail information of the outgoing mail. there is.
  • the outgoing mail processing unit 160 determines that the outgoing mail requested to be sent is a targeted email security threat, the outgoing mail processing unit 160 includes a link to preview the harmless and filtered email instead of sending the actual email to the email recipient. Secure email can be sent.
  • the outgoing mail processing unit 160 can process a follow-up management service that responds to security threats of targeted email attacks on outgoing mail even after the user sends the mail.
  • the post-management service is limited to processing by a special account such as an administrator, and the outgoing mail processing unit 160 verifies the recipient's access and inquiry for email security and verifies the recipient's secure email access IP through the post-management service. , you can check the recipient's secure email access date and time, and process the recipient's access control (allow/block) to the secure email.
  • the outgoing mail processing unit 160 can perform log monitoring and notification of malicious account information obtained from security threat synchronization data, and the monitored log includes ID, location (country), IP address, date, status ( may include detailed log information such as success or failure).
  • the outgoing mail processing unit 160 reports the results of monitoring malicious accounts within the email server by identifying malicious login attempts to the user account, providing a notification to the user terminal, and displaying the notification on the email or dashboard interface. can do.
  • the outgoing mail processing unit 160 may process email encryption to prevent intentional information leakage of emails.
  • Email encryption encrypts or disguises the contents of emails and attachments to protect sensitive information from being read by anyone other than the intended recipient.
  • the outgoing mail processing unit 160 may provide outgoing delay, outgoing mail inquiry, and deletion functions to prevent intentional or unintentional information leakage.
  • the outgoing mail processing unit 160 can set a delay time between the sending time and the delivered time, and can set a delay time between the mail sending time and the delivered time. Shipment may be cancelled. The right to cancel emails within the delay time can be granted to administrators and users. Once a canceled outgoing email cannot be sent, the email must be rewritten.
  • the outgoing mail processing unit 160 may restrict the country of use and IP address corresponding to the account in order to prevent account takeover attacks in advance. To set these restrictions, the outgoing mail processing unit 160 provides a function that allows security managers and email users to register specific accessible IP addresses and countries through 'secure IP registration' or 'allowed country registration'. Accordingly, users can only send emails from permitted IP addresses and countries.
  • the outgoing mail processing unit 160 may block access to the email server in advance for sending unauthorized mail through email server IP access control.
  • the outgoing mail processing unit 160 can block outgoing webmail connections using a registered IP, and controls communication access based on POP3 (client server protocol)/SMTP (mail transfer protocol) to enable mail client Communication-based outgoings can also be blocked.
  • POP3 client server protocol
  • STP mail transfer protocol
  • the outgoing mail processing unit 160 may configure, store, and manage an email server access restriction log, such as IP address and date, when sending email from a registered IP address and country. Additionally, this email server access restriction log can be used to check whether the user is allowed to send messages during the next connection.
  • the outgoing mail processing unit 160 uses user identification information, encrypted email information, user password information, device identification information, access IP information, access time information, access location information, and communication to the email engine to check whether the user is allowed to send mail. You can check the email server access restriction log containing protocol identification information.
  • the record management unit 170 may store and manage the mail information processed according to the targeted email attack security threat determination information as record information.
  • the record management unit 170 records the incoming email domain, outgoing email domain, incoming email address, outgoing email address, email routing, and email content body information.
  • the record information contained therein is stored and managed as trust authentication information, and if it is processed as an abnormal email, the record information can be transmitted to the security threat information synchronization processing unit 140 to update the security threat information synchronization data.
  • the record management unit 170 includes a learning data processing unit 171 to build a security threat information learning model for blocking targeted email attacks based on learning of the normal email and abnormal email information,
  • the security threat information learning model may be transmitted to the security threat information synchronization processing unit 140 and included in the security threat information synchronization data.
  • the diagnostic reporting unit 180 collects processing result information of the targeted email security threat inspection unit 130, configures email security diagnosis service information from the processing result information, and provides an email security diagnosis service to the user terminal 200. can be provided.
  • the diagnostic reporting unit 180 can collect step-by-step matching result information of the mail security process processed by the targeted email security threat inspection unit 130, and one or more quantitative information corresponding to the collected matching result information.
  • the threat level ratio factor for applying classification conditions can be determined.
  • the diagnostic reporting unit 180 can calculate quantitative analysis information corresponding to the threat level ratio element from the matching result, and based on the quantitative analysis information, the mail system to be diagnosed and the score for each threat level stage classification for each mail. can be decided.
  • the diagnostic reporting unit 180 can configure email security diagnostic analysis reporting based on scores for each threat level classification, and the configured email security diagnostic analysis reporting information can be provided to the user terminal 200.
  • the targeted email security threat inspection unit 130 can classify and process spam email security threats, malicious code security threats, social engineering security threats, and internal information leakage security threats, and the security threat architecture.
  • the security threat type/level/process/priority/processing order can be set, and the corresponding processing process of the incoming mail processing unit 150 and the outgoing mail processing unit 160 can be performed, and each matching
  • the number of matches for each threat level ratio element can be calculated.
  • These quantitative classification conditions can also be called threat level element classification criteria.
  • diagnostic reporting unit 180 applies the quantitative analysis information of each threat level ratio element to the score calculation formula for each preset threat level classification, to confirm the degree of comprehensive security threat of the email system to be diagnosed, and to determine the level of the user's response to it. Diagnostic analysis reporting information that can provide response guidance may be configured.
  • the user terminal 200 can receive the diagnostic analysis reporting information, accurately check the status of email security threats based on security threat architecture based on quantitative actual data, and take action by receiving corresponding guides. It is possible to block increasingly diverse security threats, such as targeted email attacks, in advance.
  • the diagnostic reporting unit 180 may provide a warning message to the user terminal 200 based on diagnostic analysis reporting information.
  • the warning message alerts users to the risk of targeted email attacks using terms such as 'spam', 'similar domain', and 'forged headers' along with the subject of the email in their mailbox, allowing them to identify what type of email it is. Additionally, security administrators can configure suspicious emails to be delivered or not delivered to users, and can also manage warning message words/phrases by group.
  • the diagnostic reporting unit 180 can configure preliminary email security reporting information and provide it to the user terminal 200.
  • Pre-email security reporting information can be provided as a notification before the user opens the email and can provide information about the risk of the received email.
  • This proactive email security reporting information may be displayed individually or as an aggregate threat level in response to at least the following information:
  • the risk level of similar domains e.g. TLD, low, medium, high, and risky
  • diagnostic reporting unit 180 can configure post-email security reporting information and provide it to the user terminal 200.
  • Reactive email security reporting information is a detailed summary report that allows security administrators or users to be aware of the state of email security and may include investigative and analytical information such as information about the current state of risky mail, including:
  • Email attack status by attack type e.g. spam, malware, malicious URLs and attachments, forged headers, similar domains
  • Attack scenarios e.g. malware, malicious URLs, suspicious sender addresses, forged headers and similar domains, etc.
  • the diagnostic reporting unit 180 may provide a status dashboard interface to the user terminal 200, and the status dashboard interface may provide information that affects the operation of the selected technology entity, such as operating status, configuration, and operating environment. It can provide an overview of the real-time technical status of incoming and outgoing emails.
  • the status dashboard interface can be configured to display real-time information panels of the entire targeted email attack blocking feature (e.g., total number and status of emails, reasons for inbound and outbound email failures, number of targeted email attacks received), Allows internal security managers to recognize and control.
  • the entire targeted email attack blocking feature e.g., total number and status of emails, reasons for inbound and outbound email failures, number of targeted email attacks received
  • the diagnostic reporting unit 180 can configure email security diagnostic analysis reporting for targeted email attacks based on scores for each threat level classification, and the configured email security diagnostic analysis reporting information is provided to the user terminal 200. It can be.
  • diagnostic reporting unit 180 applies the quantitative analysis information of each threat level ratio element to the score calculation formula for each preset threat level classification, to confirm and respond to the comprehensive security threat level of the email system and individual emails subject to diagnosis. Diagnostic analysis reporting information that can provide a response guide for users may be configured.
  • the judgment standard for determining the comprehensive security threat level of an individual email can be determined according to the threat level element classification criteria.
  • the classification conditions of the threat level element classification criteria can be set in response to the risk detection results of each targeted email attack, for example, malware email detection, malware behavior detection, virus detection, ransomware detection, malicious code detection, etc.
  • URL detection URL detection in the text, URL detection in attached files, header forgery detection, address change detection when replying, ID change detection, domain change detection, ID & domain order change detection, destination change detection, similar domain detection, beware of header forgery It may include at least one of email detection, spam email (advertising, business) detection, and reliability warning email detection.
  • the diagnostic reporting unit 180 can determine the score for each threat level classification of the email to be diagnosed.
  • the classification conditions may be assigned to each threat level classification, and the quantitative analysis values detected according to the classification conditions may be summed corresponding to each threat level classification, and the summed values may be added to the summed values. Accordingly, a score for each threat level classification may be determined.
  • threat levels can be classified into first, second, third, and fourth stages according to their risk, and a score for each stage can be calculated and summed.
  • the diagnostic reporting unit 180 may set a risk weight corresponding to each threat level.
  • the risk weight may be assigned as 10% for the first level, 20% for the second level, 30% for the third level, and 40% for the fourth level.
  • the diagnostic reporting unit 180 multiplies the score for each threat level by the risk weight and adds up the results, thereby calculating the risk of a targeted email attack security threat of the email to be diagnosed. .
  • This targeted email attack security threat risk may be mapped to security levels such as A, B, C, D, and E according to preset levels, and according to this mapping, the diagnostic reporting unit 180 may respond to a specific email.
  • Threat level-based guide content that displays the corresponding comprehensive security threat risk as a security level can be configured and provided to email user terminals.
  • the diagnostic reporting unit 180 can change and calculate the score in real time by reflecting the user's email history information and settings information that are updated in real time, based on the security threat information synchronization data.
  • mail received from that source may be excluded from risk assessment or may be given a risk rating of 0.
  • This reflection of user settings is intended to diagnose the risk of targeted email attacks when users, such as companies, have customized settings according to their email receiving and sending environments.
  • the security threat information synchronization data reflects the results of the target-type email attack risk test of previously sent mail data, and the diagnostic reporting unit 180 detects the sending address, sending country, and detection of the sending mail that is judged to be dangerous. Using malicious code, etc., a targeted email attack risk score can be calculated for each incoming email.
  • each threat level element classification standard can be classified according to category, and a scoring table for each classified category can be built in advance.
  • the threat level element classification criteria may include email protocols and advertising mail categories, and scores such as advertising-related blocking history of 1 point, warning history of 1 point, and reliability blocking history of 2 points may be assigned.
  • the threat level element classification criteria may include a malware category, with 3 points for URL detection (including post-risks such as zero-day URLs), 2 points for malicious links in documents, 1 point for viruses, and 2 points for ransomware. Scores such as 1 point, 3 points for behavior-based detection, etc. can be specified.
  • the threat level element classification criteria may include basic symmetry risk categories related to social engineering attacks, and scores such as 2 points for address forgery, 1 point for ID forgery, 1 point for domain forgery, and 3 points for other forgery. can be specified.
  • the threat level element classification criteria may include an advanced impersonation risk category related to social engineering attacks, with 1 point for initial origin risk, 2 points for final origin risk, 3 points for other origin risk, and 3 points for similar domain risk.
  • a score may be assigned, such as 3 points for risk, 2 points for high, 1 point for middle, 1 point for low, and 2 points for TLD (high level domain).
  • the diagnostic reporting unit 180 calculates an email risk score for blocking such targeted email attacks, maps the security level for the targeted email attack, configures the mapped security level information into guide content, and sends it to the user terminal.
  • the diagnostic reporting unit 180 may configure guide content as a text or image marker and insert it at a point adjacent to the email subject or at the start of the email body.
  • the diagnostic reporting unit 180 determines whether the total targeted attack risk score for each item is greater than or equal to the first threshold, the targeted attack risk score for a specific item is greater than or equal to the second threshold, or the total targeted attack risk score for each item is greater than or equal to the first threshold. 3 It is determined that the period above the threshold continues for more than a certain period of time or the total number of emails with the total target attack risk score for each item is above the third threshold is more than a certain number within a certain period of time. If each condition is determined, the received mail processing unit ( 150) or a warning notification may be provided to the outgoing mail processing unit 160. The incoming mail processing unit 150 or the outgoing mail processing unit 160 may process an administrator notification corresponding to a warning notification mail or automatically block mail.
  • the user terminal 200 provides targeted email security threat information configured according to the performance of a targeted email security threat check of incoming mail, and targeted email security threat information configured according to the performance of a targeted email security threat check of outgoing mail.
  • You can accurately check the status of targeted email security threats calculated based on synchronized security threat information synchronization data based on quantitative actual data for each mail and system, and take action by receiving a corresponding guide to target email security. It is possible to block increasingly diverse security threats in advance.
  • Figures 5 and 6 are flowcharts for explaining a service process using a system according to an embodiment of the present invention.
  • FIG. 5 first relates to a targeted email attack threat inspection process of received mail, and the service providing device 100 collects received mail information (S101).
  • the service providing device 100 uses the security threat information synchronization data to perform a targeted email security threat check in response to newly received mail, and the targeted email security threat check includes spam threat check (S103) and malware.
  • Multi-level inspection at each stage such as attack threat inspection (S105) and social engineering threat inspection (107), can be performed.
  • malware attack threat inspection may include targeted email attack threat inspection such as unidentified malicious code, attachment malicious code, and URL malicious code
  • social engineering threat inspection includes header forgery, similar domains, account takeover, and URL phishing. May include testing.
  • the service providing device 100 may perform user diagnostic reporting (S109) and determine export to or block mail server based on the test results (S111).
  • the service providing device 100 may configure a warning notification message corresponding to export, blocking, or delay and provide it to the administrator's user terminal 200 or the recipient terminal 20.
  • each scan result is synchronized with the targeted email security threat information configured according to the performance of the targeted email security threat inspection of incoming mail and the targeted email security threat information configured according to the performance of the targeted email security threat inspection of outgoing mail, It may be configured as configured security threat information synchronization data (S113).
  • Figure 6 relates to a targeted email attack threat inspection process of outgoing mail, and the service providing device 100 collects outgoing mail information (S201).
  • the service providing device 100 determines that each test result includes targeted email security threat information constructed according to the performance of a targeted email security threat inspection of incoming mail, and targeted email security threat information constructed according to the performance of a targeted email security threat inspection of outgoing mail. From the security threat information synchronization data in which the email security threat information is synchronized, the security threat information synchronized to date is obtained (S203).
  • the service providing device 100 uses the synchronized security threat information to perform an information leakage threat check based on the transmission approval system (S205).
  • the service providing device 100 uses the synchronized security threat information to perform a filtering inspection process on the outgoing mail.
  • the service providing device 100 uses the inspection result of the outgoing mail to determine whether to export it to the mail server, block it, or delay it (S209).
  • the service providing device 100 may configure a warning notification message corresponding to export, blocking, or delay and provide it to the administrator's user terminal 200 or the sender terminal 10.
  • Figure 7 is a diagram for explaining a large file leak detection process according to an embodiment of the present invention.
  • the system includes a sender terminal 10, a first mail management server device 300, a mail conversion processing device 30, a service provision device 100, and a network-linked mail. It includes an approval device 500, a mail recovery processing device 250, a second mail management server device 400, and a recipient terminal 20.
  • the sender terminal 10, the first mail management server device 300, and the mail conversion processing device 30 may form a secure network separated by an internal network.
  • a security network with a separate network is a network that can transmit mail to an external network only through the network-connected mail approval device 500, and for this, a secured internal network and security devices based on various network interface environments can be built. there is.
  • the network-linked mail approval device 500 receives a request for approval of e-mail data to be transmitted to the external network from the first mail management server device 300, which builds a mail server in the internal network, and accepts a preset approval policy and By comparison, only approved and security-verified mail can be processed through a leak check to block targeted email attacks through the service providing device 100, and exported to the second mail management server device 400 through an external network. there is.
  • the preset approval policy is a complex application of various policies, such as verifying administrator authentication information, confirming approval from a superior in the organization corresponding to the sender, or checking whether e-mail data is vulnerable to security. Approval can be confirmed.
  • the network-linked mail approval device 500 sends the external mail through the service providing device 100. You can also carry out security checks on attachments and URLs to import only verified emails into the internal network.
  • the mail recovery processing device 250, the second mail management server device 400, and the recipient terminal 20 located in the external network are operated by the public network ( Through connection to a public network, data can be transmitted and received through one or more of wired and wireless connections.
  • the above-mentioned public network is a communication network built and managed by the state or a telecommunications carrier. It generally includes telephone networks, data networks, CATV networks, and mobile communication networks, and provides connection services so that an unspecified number of people can access other communication networks or the Internet. You can.
  • the sender terminal 10, the first mail management server device 300, the mail conversion processing device 30, and the network-linked mail approval device 500 are each configured to communicate using the first protocol corresponding to the internal network. May include a communication module.
  • the network-linked mail approval device 500, the mail recovery processing device 250, the second mail management server device 400, and the recipient terminal 20 are each configured to communicate using a second protocol corresponding to an external network. It may include a communication module.
  • each internal network separated security network and each device constituting the external network can be connected to each other through wired/wireless networks, and devices or terminals connected to each network communicate with each other through mutually secured network channels. can do.
  • each of the above networks is a local area network (LAN), a wide area network (WAN), a value added network (VAN), a personal area network (PAN), and a mobile communication network ( It can be implemented with various types of wired/wireless networks, such as a mobile radio communication network or a satellite communication network.
  • LAN local area network
  • WAN wide area network
  • VAN value added network
  • PAN personal area network
  • mobile communication network It can be implemented with various types of wired/wireless networks, such as a mobile radio communication network or a satellite communication network.
  • the sender terminal 10 and the receiver terminal 20 include personal computers (PCs), laptop computers, mobile phones, tablet PCs, personal digital assistants (PDAs), and portable devices (PMPs). Multimedia Player), etc., but the present invention is not limited thereto, and various devices that can be connected to the first mail management server device 300 or the second mail management server device 400 through an internal network, public network, or private network, etc. It can be exemplified.
  • each of the sender terminal 10 and the receiver terminal 20 may be a variety of devices capable of inputting and outputting information through application operation or web browsing.
  • each first mail management server device 300 and the second mail management server device 400 are systems that relay and store e-mail contents so that users can send e-mails written by them or receive e-mails written by the other party. It includes, and communication between devices can be performed using a preset mail protocol depending on the purpose of processing mail reception and transmission.
  • the mail protocol may be POP3 (Post Office Protocol 3) or IMAP (Internet Message Access Protocol) when processing mail reception.
  • POP3 Post Office Protocol 3
  • IMAP Internet Message Access Protocol
  • SMTP Simple Mail Transfer Protocol
  • EML Electronic Mail
  • the mail conversion processing device 30 may be located in an internal network of a secure network separate from the external network, and may provide link information of large files located in the internal network. After converting the e-mail containing it, receiving a leak check to block targeted e-mail attacks through the service providing device 100, and receiving approval from the network-linked e-mail approval device 500, the e-mail recovery processing device of the external network ( 250) can be processed.
  • the mail conversion processing device 30 can obtain the transmission mail requested to be transmitted from the sender terminal 10 located in the internal network through the first mail management server device 300, and the transmission mail It is possible to identify link information of a large file located in the internal network and obtain a large file located in the internal network based on the link information.
  • the mail conversion processing device 30 can generate a converted mail in which the large file is inserted so that it is classified as a general attachment file of the transmitted mail.
  • This converted mail is generated using the network-linked mail approval device 500. Via this, it can be transmitted to the mail recovery processing device 250 located in the external network.
  • the network-linked mail approval device 500 inspects the security risk of the large file inserted to be classified as the general attachment according to a preset mail sending policy, and targets the large file through the service providing device 100. After receiving a leak test to block email attacks, sending of the converted email can be approved, and the approved converted email can be processed before being delivered to the second mail management server device 400, according to an embodiment of the present invention. It can be received by the mail recovery processing device 250 according to.
  • the mail recovery processing device 250 may be located in an external network separate from the internal network of the security network, and when receiving converted mail converted and transmitted from the internal network through the network-linked mail approval device 500, service After receiving a leak check to block targeted email attacks through the providing device 100, a restored email in which large files in the internal network are restored from the converted email is configured, and the configured restored email is sent to a second mail management server device ( A restoration and delivery process for delivering to the recipient terminal 20 via 400 can be performed.
  • the mail recovery processing device 250 can obtain a large file of the internal network from the general attachment file data included in the converted mail, and separate the large file of the internal network from the converted mail, Upload to a random encrypted external network path.
  • the mail restoration processing device 250 configures a restored mail of the converted mail by including the uploaded external network path information in the converted mail from which the large file is separated, and the constructed restored mail is managed by the second mail management. It may be delivered to the server device 400 and transmitted to the recipient terminal.
  • the recipient terminal 20 restores it in the same way as a large file attachment to an outgoing email. Since uploaded large files can be obtained from external network path information included in received mail, actual export of large files can be processed.
  • Figure 8 is a ladder diagram to explain a policy-based approval process for large files according to an embodiment of the present invention.
  • the first mail management server device 300 receives a mail transmission request from the sender terminal 10 and transmits it to the mail conversion processing device 30 (S1001).
  • the mail conversion processing device 30 identifies internal network link information corresponding to the internal network large attachment file from the mail requested to be transmitted (S1003).
  • the mail conversion processing device 30 In order to identify internal network link information, the mail conversion processing device 30 according to an embodiment of the present invention first identifies link information (URL or URI) included in the mail requested to be transmitted through the internal network link identification unit 110. You can extract and perform traceability checks on link information.
  • link information URL or URI
  • a preset internal network path e.g. , link information whose IP address starts with a private IP address set to the internal network
  • the internal network link identification unit 110 of the mail conversion processing device 30 identifies the size information of the file to be downloaded among the link information checked as possible for file download, and when the size information is greater than a certain size, It can be identified by link information corresponding to the internal network large-capacity attached file.
  • the certain size may be 2 megabytes
  • the internal network link identification unit 110 may provide link information for downloading an internal network file exceeding 2 megabytes among all link information or designated link information. can be extracted and identified as internal network link information corresponding to the internal network large attached file.
  • the mail conversion processing device 30 downloads the target file from the internal network link and deletes the internal network large capacity link from the transmitted mail (S1005).
  • the mail conversion processing device 30 configures EML data by including the target file as an attachment in a general attached mail format in the transmitted mail from which the large link has been deleted (S1007).
  • the mail conversion processing device 30 requests transmission approval of the EML data-based converted mail from the network-connected mail approval device 500 (S1009).
  • the network-linked mail approval device 500 may perform targeted email attack inspection processing of large files using the service provision device 100 (S1010) and determine whether to approve the mail based on a preset policy (S1011). ), if approval is rejected, the rejection message is delivered to the sender terminal 10 through the first mail management server device 300 (S1013), and if approval is confirmed, the converted mail is sent to the second mail management of the external network. It is transmitted to the mail recovery processing device 250 connected to the server device 400 (S1015).
  • the mail recovery processing device 250 separates the target file from the general attachment file of the converted mail, performs a targeted email attack inspection process on the large file using the service providing device 100 (S1016), and general Configure restoration via email (S1017).
  • the mail recovery processing device 250 uploads the separated target file to a random path (S1019) and configures a web page that allows access to the upload path information (S1021).
  • the mail recovery processing device 250 adds a web page to the attachment file of the restored general mail (S1023), and sends the restored general mail through the second mail management server device 400 to the recipient terminal ( 20) and forwarded to (S1025, S1027).
  • the upload path information is illustrated as being added as a web page, but the present invention is not limited to this, and the upload path information may be attached to the restored general mail in various ways, such as link information and URL text. You can.
  • the method according to the present invention described above can be produced as a program to be executed on a computer and stored in a computer-readable recording medium.
  • Examples of computer-readable recording media include ROM, RAM, CD-ROM, and magnetic tape. , floppy disks, optical data storage devices, etc.
  • the computer-readable recording medium is distributed in a computer system connected to a network, so that computer-readable code can be stored and executed in a distributed manner. And, functional programs, codes, and code segments for implementing the method can be easily deduced by programmers in the technical field to which the present invention pertains.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

An operation method for an email security system comprises the steps of: configuring security threat information synchronization data by synchronizing targeted email security threat information configured by performing a targeted email security threat inspection of a received mail with targeted email security threat information configured by performing a targeted email security threat inspection of a sent mail; performing a targeted email security threat inspection corresponding to a newly received mail or a newly sent mail, by using the security threat information synchronization data; and performing targeted email security threat response processing according to the targeted email security threat inspect of the newly received mail or the newly sent mail.

Description

표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법Email security system and method of operation for blocking and responding to targeted email attacks
본 발명은 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법에 관한 것이다.The present invention relates to an email security system and method of operating the same for blocking and responding to targeted email attacks.
네트워크 공격 기술의 발달로 현대 사회에서 이메일을 통한 사이버 공격은 점차 진화하고 있다. 멀웨어와 사회 공학을 사용한 복잡한 사이버 공격 전술을 통해 소위 표적 이메일 공격이라고 하는 특정 대상을 겨냥한 악성 이메일의 활동이 증가함에 따라 전 세계의 활동적인 인터넷 사용자와 기업이 피해를 입고 있다.With the development of network attack technology, cyber attacks via email are gradually evolving in modern society. The increasing activity of targeted malicious emails, so-called targeted email attacks, through sophisticated cyberattack tactics using malware and social engineering, is impacting active Internet users and businesses around the world.
이러한 표적 이메일 공격은, 불특정 다수를 대상으로 하는 스팸 피싱 공격과 달리 개인이나 기업을 대상으로 설정한 후 특정인을 대상으로 하여 대상 주체의 정보 자산을 훼손하거나 훼손하는 공격을 포함한다.These targeted email attacks, unlike spam phishing attacks that target an unspecified number of people, include attacks that target individuals or companies and then target specific people to damage or damage the target's information assets.
표적형 이메일 공격을 수행하기 위해 위협 행위자는, 정보를 수집하여 실제처럼 보이는 개인화된 이메일 메시지를 만들어 표적이 이에 응답하도록 설득하고 결국에는 보안 허점을 만든다. To carry out targeted email attacks, threat actors gather information and create realistic-looking personalized email messages to persuade targets to respond, ultimately creating a security hole.
나아가, 수신(인바운드) 및 발신(아웃바운드) 이메일에 사용되는 표적 공격은 헤더 위변조, 유사 이메일 주소 또는 계정 탈취(ATO) 등을 사용하여, 알려지지 않은 지능형 악성코드를 첨부하거나 대상이 신뢰하는 정상적인 발신자를 가장하는 등 정교하고 알려지지 않은 방법을 사용하기 때문에, 피해자는 공격자가 잘못된 송금, 데이터 유출, 컴퓨터 시스템 장애 등을 의도한 첨부 파일을 클릭하거나, 개인 정보가 포함된 답장을 보내는 등 이메일에 응답하게 된다.Furthermore, targeted attacks used on incoming (inbound) and outgoing (outbound) emails use header forgery, pseudo-email addresses, or account takeover (ATO) to attach unknown, intelligent malware or send messages from legitimate senders trusted by the target. By using sophisticated and unknown methods, such as spoofing, victims are tricked into responding to emails by clicking on attachments or sending replies containing personal information, with the attackers' intention to send incorrect transfers, data leaks, or computer system failures. do.
이는, 피해자의 정보 자산에 심각한 위험을 초래할 수 있다. 그러나, 이러한 표적형 이메일 공격의 심각성에 비해, 현재까지 제안된 이메일 보안 솔루션은, 단순한 인바운드 스팸 차단, 인바운드 도메인 차단 등의 단편적인 기술에 머물러 있을 뿐이며, 알려진 기술들을 종합적으로 활용하여 표적형 이메일 공격을 효과적으로 방지하거나 차단하는 솔루션들은 제시되지 못하고 있는 실정이다.This can pose a serious risk to the victim's information assets. However, compared to the severity of these targeted email attacks, the email security solutions proposed to date are limited to fragmentary technologies such as simple inbound spam blocking and inbound domain blocking, and target email attacks by comprehensively utilizing known technologies. Solutions that effectively prevent or block have not been proposed.
특히, 수신(인바운드) 측에 대한 표적형 이메일 공격은, 결국 발신(아웃바운드)에 대한 보안 문제점으로도 이어지며, 발신 보안의 문제점이 다시 수신 보안 문제점으로도 이어지기 때문에, 이를 종합적으로 고려하여 표적형 이메일 공격을 차단하기 위한 체계적인 보안 시스템이 요구되고는 있으나, 적절한 솔루션이 제안되지는 못하고 있는 실정이다.In particular, targeted email attacks on the receiving (inbound) side ultimately lead to security problems for sending (outbound), and problems with sending security also lead to receiving security problems, so take this into consideration comprehensively. There is a need for a systematic security system to block targeted email attacks, but no appropriate solution has been proposed.
본 발명은 상기한 바와 같은 문제점들을 해결하고자 안출된 것으로, 인바운드 및 아웃바운드 메일에 대한 단계적 표적형 이메일 공격 위협 검사 프로세스를 통해, 표적형 이메일 공격을 효과적으로 차단하고, 이에 대응하는 적절한 대응 프로세스와 진단 리포팅을 제공할 수 있는 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 장치 및 그 동작 방법을 제공하는 데 그 목적이 있다.The present invention was created to solve the problems described above, and effectively blocks targeted email attacks through a step-by-step targeted email attack threat inspection process for inbound and outbound mail, and provides an appropriate response process and diagnosis. The purpose is to provide an email security system device and operation method for blocking and responding to targeted email attacks that can provide reporting.
상기한 바와 같은 과제를 해결하기 위한 본 발명의 실시 예에 따른 이메일 보안 시스템의 동작 방법은, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하는 단계; 상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하는 단계; 및 상기 신규 수신 메일 또는 상기 신규 발신 메일의 상기 표적형 이메일 보안 위협 검사에 따른 표적형 이메일 보안 위협 대응 처리를 수행하는 단계를 포함하고, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사는, 상기 보안 위협 정보 동기화 데이터를 이용한, 특정 이메일 계정을 대상으로 하는 스팸 공격 위협 검사, 악성코드 이메일 공격 위협 검사, 사회공학적 이메일 공격 위협 검사, 이메일 정보 유출 위협 검사 중 적어도 하나를 포함한다.The method of operating an email security system according to an embodiment of the present invention to solve the above-described problems includes targeting email security threat information constructed by performing a targeted email security threat check of incoming mail, and targeting email security threat information of outgoing mail. Constructing security threat information synchronization data by synchronizing targeted email security threat information configured according to the performance of email security threat screening; Using the security threat information synchronization data, performing a targeted email security threat check corresponding to new received mail or new sent mail; And performing targeted email security threat response processing according to the targeted email security threat inspection of the new received mail or the new sent mail, and performing targeted email security threat response processing in response to the new received mail or the new sent mail. The inspection includes at least one of a spam attack threat inspection targeting a specific email account, a malware email attack threat inspection, a social engineering email attack threat inspection, and an email information leakage threat inspection using the security threat information synchronization data.
상기한 바와 같은 과제를 해결하기 위한 본 발명의 실시 예에 따른 이메일 보안 시스템을 이용한 서비스 제공 장치는, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하는 보안 위협 정보 동기화 처리부; 상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하는 표적형 이메일 보안 위협 검사부; 및 상기 신규 수신 메일 또는 상기 신규 발신 메일의 상기 표적형 이메일 보안 위협 검사에 따른 표적형 이메일 보안 위협 대응 처리를 수행하는 메일 처리부를 포함하고, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사는, 상기 보안 위협 정보 동기화 데이터를 이용한, 특정 이메일 계정을 대상으로 하는 스팸 공격 위협 검사, 악성코드 이메일 공격 위협 검사, 사회공학적 이메일 공격 위협 검사, 이메일 정보 유출 위협 검사 중 적어도 하나를 포함한다.A service providing device using an email security system according to an embodiment of the present invention to solve the above-mentioned problems includes targeted email security threat information constructed by performing a targeted email security threat check of incoming emails, and information on outgoing emails. a security threat information synchronization processing unit that synchronizes targeted email security threat information configured according to the performance of a targeted email security threat scan to form security threat information synchronization data; a targeted email security threat inspection unit that uses the security threat information synchronization data to perform a targeted email security threat inspection corresponding to newly received or newly sent mail; And a mail processing unit that performs targeted email security threat response processing according to the targeted email security threat inspection of the new received mail or the new sent mail, and targeted email security corresponding to the new received mail or the new sent mail. The threat check includes at least one of a spam attack threat check targeting a specific email account, a malware email attack threat check, a social engineering email attack threat check, and an email information leakage threat check using the security threat information synchronization data. .
한편, 상기한 바와 같은 과제를 해결하기 위한 본 발명의 실시 예에 따른 방법은 상기 방법을 컴퓨터에서 실행시키기 위한 컴퓨터 판독 가능한 기록 매체 및 상기 기록 매체에 저장되는 컴퓨터프로그램으로 구현될 수 있다.Meanwhile, the method according to an embodiment of the present invention for solving the above-described problem may be implemented with a computer-readable recording medium for executing the method on a computer and a computer program stored in the recording medium.
본 발명의 실시 예에 따르면, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하고, 상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 단계적으로 수행함에 따라, 효과적인 표적형 이메일 공격 위협 검사 프로세스를 처리할 수 있다.According to an embodiment of the present invention, targeted email security threat information configured according to the performance of a targeted email security threat check of incoming mail and targeted email security threat information configured according to the performance of a targeted email security threat check of outgoing mail are synchronized. By configuring security threat information synchronization data and using the security threat information synchronization data, a targeted email security threat check corresponding to new incoming or new outgoing mail is performed step by step, thereby creating an effective targeted email attack threat. Can handle inspection process.
이에 따라, 본 발명은 인바운드 및 아웃바운드 메일에 대한 단계적 표적형 이메일 공격 위협 검사 프로세스를 통해, 표적형 이메일 공격을 효과적으로 차단하고, 이에 대응하는 적절한 진단 리포팅과 대응 프로세스를 제공할 수 있는 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 장치 및 그 동작 방법을 제공할 수 있다.Accordingly, the present invention is a targeted email attack that can effectively block targeted email attacks and provide appropriate diagnostic reporting and response processes through a step-by-step targeted email attack threat inspection process for inbound and outbound mail. An email security system device and method of operation for blocking and responding to attacks can be provided.
도 1은 본 발명의 실시 예에 따른 전체 시스템을 개략적으로 도시한 개념도이다.1 is a conceptual diagram schematically showing the entire system according to an embodiment of the present invention.
도 2는 본 발명의 실시 예에 따른 서비스 제공 장치를 설명하기 위한 블록도이다.Figure 2 is a block diagram for explaining a service providing device according to an embodiment of the present invention.
도 3 및 도 4는 본 발명의 실시 예에 따른 서비스 제공 장치의 일부 구성을 보다 구체적으로 설명하기 위한 블록도이다.3 and 4 are block diagrams to explain in more detail some configurations of a service providing device according to an embodiment of the present invention.
도 5 및 도 6은 본 발명의 실시 예에 따른 시스템을 이용한 서비스 프로세스를 설명하기 위한 흐름도이다.Figures 5 and 6 are flowcharts for explaining a service process using a system according to an embodiment of the present invention.
도 7은 본 발명의 실시 예에 따른 대용량 파일 유출 검사 프로세스를 설명하기 위한 도면이다.Figure 7 is a diagram for explaining a large file leak detection process according to an embodiment of the present invention.
도 8은 본 발명의 실시 예에 따른 대용량 파일의 정책 기반 승인 프로세스를 설명하기 위한 래더 다이어그램이다.Figure 8 is a ladder diagram to explain a policy-based approval process for large files according to an embodiment of the present invention.
이하의 내용은 단지 본 발명의 원리를 예시한다. 그러므로 당업자는 비록 본 명세서에 명확히 설명되거나 도시되지 않았지만 본 발명의 원리를 구현하고 본 발명의 개념과 범위에 포함된 다양한 장치와 방법을 발명할 수 있는 것이다. 또한, 본 명세서에 열거된 모든 조건부 용어 및 실시 예들은 원칙적으로, 본 발명의 개념이 이해되도록 하기 위한 목적으로만 명백히 의도되고, 이와 같이 특별히 열거된 실시 예들 및 상태들에 제한적이지 않는 것으로 이해되어야 한다.The following merely illustrates the principles of the invention. Therefore, those skilled in the art will be able to invent various devices and methods that embody the principles of the present invention and are included in the concept and scope of the present invention, although not explicitly described or shown herein. In addition, all conditional terms and examples listed herein are, in principle, expressly intended only for the purpose of enabling the concept of the invention to be understood, and should be understood not as limiting to the examples and states specifically listed as such. do.
또한, 본 발명의 원리, 관점 및 실시 예들 뿐만 아니라 특정 실시 예를 열거하는 모든 상세한 설명은 이러한 사항의 구조적 및 기능적 균등물을 포함하도록 의도되는 것으로 이해되어야 한다. 또한 이러한 균등물들은 현재 공지된 균등물뿐만 아니라 장래에 개발될 균등물 즉 구조와 무관하게 동일한 기능을 수행하도록 발명된 모든 소자를 포함하는 것으로 이해되어야 한다.Additionally, it is to be understood that any detailed description reciting the principles, aspects and embodiments of the invention, as well as specific embodiments, is intended to encompass structural and functional equivalents thereof. In addition, these equivalents should be understood to include not only currently known equivalents but also equivalents developed in the future, that is, all elements invented to perform the same function regardless of structure.
따라서, 예를 들어, 본 명세서의 블록도는 본 발명의 원리를 구체화하는 예시적인 회로의 개념적인 관점을 나타내는 것으로 이해되어야 한다. 이와 유사하게, 모든 흐름도, 상태 변환도, 의사 코드 등은 컴퓨터가 판독 가능한 매체에 실질적으로 나타낼 수 있고 컴퓨터 또는 프로세서가 명백히 도시되었는지 여부를 불문하고 컴퓨터 또는 프로세서에 의해 수행되는 다양한 프로세스를 나타내는 것으로 이해되어야 한다.Accordingly, for example, the block diagrams herein should be understood as representing a conceptual view of an example circuit embodying the principles of the invention. Similarly, all flow diagrams, state transition diagrams, pseudo-code, etc. are understood to represent various processes that can be substantially represented on a computer-readable medium and are performed by a computer or processor, whether or not the computer or processor is explicitly shown. It has to be.
또한 프로세서, 제어 또는 이와 유사한 개념으로 제시되는 용어의 명확한 사용은 소프트웨어를 실행할 능력을 가진 하드웨어를 배타적으로 인용하여 해석되어서는 아니 되고, 제한 없이 디지털 신호 프로세서(DSP) 하드웨어, 소프트웨어를 저장하기 위한 롬(ROM), 램(RAM) 및 비휘발성 메모리를 암시적으로 포함하는 것으로 이해되어야 한다. 주지관용의 다른 하드웨어도 포함될 수 있다.Additionally, the clear use of terms such as processor, control, or similar concepts should not be construed as exclusively referring to hardware capable of executing software, and should not be construed as referring exclusively to hardware capable of executing software, including, without limitation, digital signal processor (DSP) hardware, and ROM for storing software. It should be understood as implicitly including ROM, RAM, and non-volatile memory. Other hardware for public use may also be included.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 실시함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다.The above-described purpose, features and advantages will become clearer through the following detailed description in conjunction with the accompanying drawings, and accordingly, those skilled in the art will be able to easily implement the technical idea of the present invention. There will be. Additionally, in carrying out the present invention, if it is determined that a detailed description of known techniques related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description will be omitted.
본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in this application are only used to describe specific embodiments and are not intended to limit the invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, terms such as “comprise” or “have” are intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but are not intended to indicate the presence of one or more other features. It should be understood that this does not exclude in advance the possibility of the existence or addition of elements, numbers, steps, operations, components, parts, or combinations thereof.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시 예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the attached drawings. In order to facilitate overall understanding when describing the present invention, the same reference numerals are used for the same components in the drawings, and duplicate descriptions for the same components are omitted.
본 명세서에서 사용되는 '메일(mail)'은 사용자가 단말장치와 이에 설치되는 클라이언트 프로그램 또는 웹사이트를 통해 컴퓨터 통신망을 이용하여 주고 받는 이메일(Electronic mail), 웹메일(Web mail), 전자우편, 전자우편물 등의 용어를 통칭하여 사용할 수 있다. As used in this specification, 'mail' refers to electronic mail, web mail, e-mail, Terms such as e-mail can be used collectively.
도 1은 본 발명의 일 실시 예에 따른 전체 시스템을 도시한 개념도이다.1 is a conceptual diagram showing the entire system according to an embodiment of the present invention.
도 1을 참조하면, 본 발명의 일 실시 예에 따른 시스템은 서비스 제공 장치(100), 사용자단말(200), 메일서버(300)를 포함한다.Referring to Figure 1, a system according to an embodiment of the present invention includes a service providing device 100, a user terminal 200, and a mail server 300.
보다 구체적으로, 서비스 제공 장치(100), 사용자단말(200), 메일서버(300)는 공중망(Public network)과의 연결을 통해 유선 및 무선 중 하나 이상으로 연결되어 데이터를 송수신할 수 있다. 상기 공중망은 국가 혹은 통신 기간 사업자가 구축 및 관리하는 통신망으로, 일반적으로 전화망, 데이터망, CATV망 및 이동 통신망 등을 포함하여 불특정 다수의 일반인이 타 통신망이나 인터넷에 접속 가능하도록 연결 서비스를 제공한다. 본 발명에서는 상기 공중망을 네트워크로 대체하여 표기한다.More specifically, the service providing device 100, the user terminal 200, and the mail server 300 can be connected to one or more of wired and wireless channels through a connection to a public network to transmit and receive data. The above-mentioned public network is a communication network built and managed by the state or a telecommunications carrier, and generally includes a telephone network, data network, CATV network, and mobile communication network, and provides connection services so that an unspecified number of ordinary people can access other communication networks or the Internet. . In the present invention, the public network is replaced with network.
또한, 상기 서비스 제공 장치(100), 사용자단말(200), 메일서버(300)는 각 통신망에 상응하는 프로토콜로 통신하기 위한 각각의 통신 모듈을 포함할 수 있다.Additionally, the service providing device 100, user terminal 200, and mail server 300 may include respective communication modules for communicating using protocols corresponding to each communication network.
상기 서비스 제공 장치(100)는 메일 보안 및 진단 서비스 제공을 위해, 각 사용자단말(200) 및 메일서버(300)와 유/무선 네트워크를 통해 연결될 수 있으며, 각 네트워크에 연결된 장치 또는 단말들은 사전 설정된 네트워크 채널을 통해 상호간 통신을 수행할 수 있다.The service providing device 100 can be connected to each user terminal 200 and the mail server 300 through a wired/wireless network to provide mail security and diagnosis services, and devices or terminals connected to each network are preset. Mutual communication can be performed through network channels.
여기서 상기 각 네트워크는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN), 부가가치 통신망(Value Added Network; VAN), 개인 근거리 무선통신(Personal Area Network; PAN), 이동 통신망(Mobile radio communication network) 또는 위성 통신망 등과 같은 모든 종류의 유/무선 네트워크로 구현될 수 있다.Here, each of the above networks is a local area network (LAN), a wide area network (WAN), a value added network (VAN), a personal area network (PAN), and a mobile communication network ( It can be implemented with any type of wired/wireless network, such as a mobile radio communication network or satellite communication network.
본 명세서에서 설명되는 서비스 제공 장치(100)는 메일을 통하여 의도하지 않은 프로그램의 실행과 메일 관련 시스템의 데이터 처리 능력 저하, 피싱 사기, 등을 야기하는 공격을 탐지하고 차단할 수 있는 메일 보안 서비스를 제공할 수 있다.The service providing device 100 described in this specification provides a mail security service that can detect and block attacks that cause execution of unintended programs through mail, deterioration of the data processing ability of mail-related systems, phishing scams, etc. can do.
나아가, 서비스 제공 장치(100)는 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하고, 상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행함에 따라, 상기 신규 수신 메일 또는 상기 신규 발신 메일의 상기 표적형 이메일 보안 위협 검사에 따른 표적형 이메일 보안 위협 대응 처리를 수행하는 메일 보안 서비스를 제공할 수 있다.Furthermore, the service providing device 100 provides targeted email security threat information configured according to the performance of a targeted email security threat check of incoming mail and targeted email security threat information configured according to the performance of a targeted email security threat check of outgoing mail. By synchronizing, constructing security threat information synchronization data, and using the security threat information synchronization data to perform a targeted email security threat check corresponding to the newly received mail or the new sent mail, A mail security service that performs targeted email security threat response processing according to the targeted email security threat inspection of outgoing mail can be provided.
여기서, 상기 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사는, 상기 보안 위협 정보 동기화 데이터를 이용한, 특정 이메일 계정을 대상으로 하는 스팸 공격 위협 검사, 악성코드 이메일 공격 위협 검사, 사회공학적 이메일 공격 위협 검사, 이메일 정보 유출 위협 검사 중 적어도 하나를 포함할 수 있으며, 보안 레벨에 대응하여 사전 정의된 단계적 검사 프로세스에 따라, 표적형 이메일 검사을 처리하고, 처리된 검사 데이터는 상기 보안 위협 정보 동기화 데이터를 갱신하는 데 이용될 수 있다.Here, the targeted email security threat scan corresponding to the newly received or newly sent email includes spam attack threat screening targeting a specific email account using the security threat information synchronization data, malicious code email attack threat screening, and social threat screening. It may include at least one of an engineered email attack threat scan and an email information leakage threat scan, and processes targeted email scans according to a predefined step-by-step scan process in response to the security level, and the processed scan data is the security threat information. It can be used to update synchronization data.
또한, 서비스 제공 장치(100)는, 보안 위협 정보 동기화 데이터와, 표적형 이메일 검사 처리 정보를 이용하여, 표적형 이메일 공격에 대응하는 메일 보안 위협 요소의 정량 분석 기반의 메일 진단 프로세스를 수행하고, 각 이메일 시스템 사용자단말(200)로 상기 진단 프로세스에 기초한 진단 리포팅을 제공하는 메일 진단 서비스를 제공할 수 있다.In addition, the service providing device 100 uses security threat information synchronization data and targeted email inspection processing information to perform an email diagnosis process based on quantitative analysis of email security threats responding to targeted email attacks, A mail diagnosis service that provides diagnostic reporting based on the diagnostic process can be provided to each email system user terminal 200.
그리고 본 명세서에서 설명되는 사용자단말(200)은 PC(personal computer), 노트북 컴퓨터(laptop computer), 휴대폰(Mobile phone), 태블릿 PC(Tablet PC), PDA(Personal Digital Assistants), PMP(Portable Multimedia Player) 등이 포함될 수 있으나, 본 발명은 이에 한정되지 아니하며 공중망 또는 사설망 등을 통해 상기 서비스 제공 장치(100)와 메일서버(300) 등과 연결이 가능한 장치일 수 있다. And the user terminal 200 described in this specification includes a personal computer (PC), a laptop computer, a mobile phone, a tablet PC, a personal digital assistant (PDA), and a portable multimedia player (PMP). ), etc. may be included, but the present invention is not limited thereto, and may be a device that can be connected to the service providing device 100 and the mail server 300, etc. through a public network or private network.
이에 더하여 각각의 장치는 애플리케이션 구동 또는 웹 브라우징을 통한 정보의 입출력이 가능한 다양한 장치일 수 있다. 특히, 일반적으로 사용자단말(200)들은 개별적인 보안 네트워크를 통해 상기 서비스 제공 장치(100)와 연결될 수 있다.In addition, each device may be a variety of devices capable of inputting and outputting information through application operation or web browsing. In particular, in general, user terminals 200 may be connected to the service providing device 100 through an individual security network.
한편, 상기 메일서버(300)는 사용자가 사용자단말(200)을 통해 작성한 메일을 발신하거나 상대방이 사용자단말(200)을 통해 작성한 메일을 수신할 수 있도록 전자 우편 내용을 중계 및 보관하는 시스템이다. 상기 메일서버(300)는 메일의 수신과 발신 처리라는 사용 목적에 따라 사전 설정된 프로토콜을 활용하여 상호간 통신을 수행할 수 있다. Meanwhile, the mail server 300 is a system that relays and stores e-mail contents so that a user can send an e-mail written through the user terminal 200 or receive an e-mail written by the other party through the user terminal 200. The mail server 300 can communicate with each other using a preset protocol according to the purpose of processing mail reception and transmission.
일반적으로 상기 프로토콜은 메일의 수신 처리 시, POP3(Post Office Protocol 3), IMAP(Internet Message Access Protocol)이 사용될 수 있다. 또한 상기 프로토콜은 메일의 발신 처리 시, SMTP(Simple Mail Transfer Protocol)가 사용될 수 있다. 이와 같이, 메일서버(300)는 메일 송수신 처리를 위한 서버(server) 시스템으로 구성되어 작동할 수 있다. 또한 상기 메일서버(300)는 메일수신서버와 메일발신서버로 세분화되어 각각의 기능을 제공할 수 있다.In general, the above protocols may include POP3 (Post Office Protocol 3) and IMAP (Internet Message Access Protocol) when processing mail reception. Additionally, the protocol may be SMTP (Simple Mail Transfer Protocol) used when sending and processing mail. In this way, the mail server 300 may be configured and operate as a server system for sending and receiving mail. Additionally, the mail server 300 can be divided into a mail receiving server and a mail sending server to provide respective functions.
도 2는 본 발명의 실시 예에 따른 서비스 제공 장치를 설명하기 위한 블록도이며, 도 3 및 도 4는 본 발명의 실시 예에 따른 서비스 제공 장치의 일부 구성을 보다 구체적으로 설명하기 위한 블록도이다.Figure 2 is a block diagram for explaining a service providing device according to an embodiment of the present invention, and Figures 3 and 4 are block diagrams for explaining in more detail some configurations of a service providing device according to an embodiment of the present invention. .
먼저, 도 2를 참조하면, 본 발명의 일 실시 예에 따른 서비스 제공 장치(100)는, 제어부(110), 검사 데이터 수집부(120), 표적형 이메일 보안 위협 검사부(130), 보안 위협 정보 동기화 처리부(140), 수신 메일 처리부(150), 발신 메일 처리부(160), 레코드 관리부(170), 진단 리포팅부(180) 및 통신부(125)를 포함한다.First, referring to FIG. 2, the service providing device 100 according to an embodiment of the present invention includes a control unit 110, an inspection data collection unit 120, a targeted email security threat inspection unit 130, and security threat information. It includes a synchronization processing unit 140, an incoming mail processing unit 150, an outgoing mail processing unit 160, a record management unit 170, a diagnostic reporting unit 180, and a communication unit 125.
제어부(110)는 상기 서비스 제공 장치(100) 각 구성요소들의 동작을 전반적으로 제어하기 위한 하나 이상의 하드웨어 프로세서로 구현될 수 있다.The control unit 110 may be implemented with one or more hardware processors to overall control the operation of each component of the service providing device 100.
통신부(125)는, 사용자단말(200) 또는 메일서버(300)가 위치한 네트워크와 통신하기 위한 하나 이상의 통신 모듈을 구비할 수 있다.The communication unit 125 may include one or more communication modules for communicating with a network where the user terminal 200 or the mail server 300 is located.
검사 데이터 수집부(120)는 메일서버(300)를 통해 하나 이상의 사용자단말(200) 간 송수신되는 메일정보를 수집할 수 있다. 상기 메일정보는 이메일 헤더 정보, 이메일 제목, 이메일 내용 본문, 일정 기간 수신 횟수 등을 포함할 수 있다.The inspection data collection unit 120 may collect mail information transmitted and received between one or more user terminals 200 through the mail server 300. The mail information may include email header information, email title, email content body, number of receptions over a certain period of time, etc.
구체적으로, 상기 이메일 헤더 정보는 메일 발신 서버 IP 주소, 메일 발신 서버 호스트 이름 정보, 발신자 메일 도메인 정보, 발신자 메일 주소, 메일 수신 서버 IP 주소, 메일 수신 서버 호스트 이름 정보, 수신자 메일 도메인 정보, 수신자 메일 주소, 메일 프로토콜 정보, 메일 수신 시간 정보, 메일 발신 시간 정보 등을 포함할 수 있다. Specifically, the email header information includes mail sending server IP address, mail sending server host name information, sender mail domain information, sender mail address, mail receiving server IP address, mail receiving server host name information, recipient mail domain information, and recipient mail. It may include address, mail protocol information, mail reception time information, mail sending time information, etc.
또한 상기 이메일 헤더는 메일이 송수신 되는 과정에 있어 필요한 네트워크 경로 정보, 메일 교환을 위한 메일 서비스 시스템 간 사용 프로토콜 정보 등을 포함할 수 있다.Additionally, the email header may include network path information necessary in the process of sending and receiving mail, protocol information used between mail service systems for mail exchange, etc.
추가적으로 상기 메일정보는 첨부파일의 확장자, 첨부파일의 해시정보, 첨부파일명, 첨부파일 내용 본문, URL(Uniform Resource Locator) 정보 등을 포함할 수 있다. 상기 첨부파일은 발신자가 수신자에게 전달하고자 하는 메일 본문 내용에 더하여 추가적인 정보를 전달하거나 또는 정보 회신을 요구하기 위한 추가적인 콘텐츠를 포함할 수 있다. Additionally, the mail information may include the extension of the attached file, hash information of the attached file, the attached file name, the body of the attached file content, and URL (Uniform Resource Locator) information. The attached file may contain additional content to convey additional information or request a response to the information in addition to the content of the email body that the sender wishes to convey to the recipient.
상기 콘텐츠는 텍스트, 이미지, 동영상 등을 제공할 수 있다. 수신자는 메일에 첨부되어 있는 파일에 대응되는 애플리케이션을 실행시켜 콘텐츠를 확인할 수 있다. 또한 수신자는 메일에 첨부되어 있는 파일을 로컬저장장치에 다운로드하여 저장 및 관리가 가능하다.The content may provide text, images, videos, etc. The recipient can check the content by running the application corresponding to the file attached to the email. Additionally, recipients can download and store and manage files attached to emails to a local storage device.
상기 첨부파일의 확장자는 파일의 형식이나 종류를 구분할 수 있다. 상기 첨부파일의 확장자는 일반적으로 파일의 속성이나 파일을 생성한 애플리케이션을 나타내는 문자열로 구분될 수 있다. 예를 들어, 텍스트 파일은 [파일명].txt, MS워드 파일은 [파일명].doc(docx), 한글 파일은 [파일명].hwp 등의 확장자로 구분될 수 있다. 또한 이미지 파일은 gif, jpg, png, tif 등으로 확장자가 구분될 수 있다. The extension of the attached file can distinguish the format or type of the file. The extension of the attached file can generally be classified into a string indicating the file's attributes or the application that created the file. For example, text files can be classified by extensions such as [file name].txt, MS Word files by [file name].doc(docx), and Hangul files by [file name].hwp. Additionally, image files may have extensions such as gif, jpg, png, and tif.
추가적으로 코드화 된 명령에 따라 지시된 작업을 수행하도록 하는 컴퓨터 파일인 실행파일은 [파일명].com, [파일명].exe, [파일명].bat, [파일명].dll, [파일명].sys, [파일명].scr 등으로 구분될 수 있다.Additionally, executable files, which are computer files that perform instructions according to coded commands, include [file name].com, [file name].exe, [file name].bat, [file name].dll, [file name].sys, [ [File name].scr, etc.
상기 첨부파일의 해시정보는 정보의 위변조를 확인하여 정보의 무결성을 보장할 수 있다. 해시정보 또는 해시값은 해시함수를 통해 임의의 길이를 가지는 임의의 데이터에 대해 일정한 길이의 비트열로 매핑될 수 있다. The hash information of the attached file can ensure the integrity of the information by confirming forgery and alteration of the information. Hash information or hash values can be mapped to arbitrary data of arbitrary length into a bit string of a certain length through a hash function.
이를 통해 최초 생성되는 첨부파일에 대하여 해시함수를 통해 출력되는 해시정보는 고유의 값을 가지게 된다. 상기 출력되는 해시정보 또는 해시값은 역으로 함수에 입력되는 데이터를 추출할 수 없는 일방향성을 가진다. 또한 해시함수는 하나의 주어진 입력 데이터에 대하여 출력된 해시정보 또는 해시값과 동일한 출력을 제공하는 또 다른 입력 데이터는 계산적으로 불가능한 충돌 회피성을 보장할 수 있다. 이에 따라, 상기 첨부파일의 데이터를 수정하거나 추가하게 되면 해시함수의 출력값은 상이하게 반환된다. Through this, the hash information output through the hash function for the initially created attached file has a unique value. Conversely, the output hash information or hash value has a one-way nature that makes it impossible to extract data input to the function. In addition, the hash function can guarantee collision avoidance, which is computationally impossible for another input data that provides the same output as the hash information or hash value output for one given input data. Accordingly, when the data in the attached file is modified or added, the output value of the hash function is returned differently.
이와 같이, 상기 첨부파일의 고유한 해시정보는 메일을 통해 주고 받는 파일에 대하여 해시정보 또는 해시값을 비교함으로써 파일의 수정, 위변조 여부를 확인할 수 있다. 또한 상기 해시정보는 고유한 값으로 고정되기 때문에 악의적인 의도를 가지고 생성한 파일에 대한 과거 히스토리의 데이터베이스인 평판 정보를 활용함으로써 사전 방역 조치를 가능하게 할 수 있다. 추가적으로 상기 해시함수는 일방향성과 충돌 회피성을 보장할 수 있는 기술 및 버전으로 이용될 수 있다.In this way, the unique hash information of the attached file can be used to check whether the file has been modified or forged by comparing the hash information or hash value of the file sent and received through email. Additionally, since the hash information is fixed to a unique value, it is possible to take proactive quarantine measures by utilizing reputation information, which is a database of past history of files created with malicious intent. Additionally, the hash function can be used in technologies and versions that can guarantee one-way and collision avoidance.
예를 들어, 해시정보는 바이러스토탈 웹사이트나 멀웨어즈 웹사이트를 통해 파일의 악성코드 유무에 대한 검색 정보로 활용될 수 있다. 상기 파일의 해시정보 분석을 제공하는 웹사이트를 통해서 파일의 제공업체, 파일의 해시값 등의 정보를 제공받을 수 있다. 또한 파일의 해시정보에 대한 검색 결과는 다수의 IT 정보 보안 솔루션을 제공하는 글로벌 회사에서 판별한 평판 정보를 크로스 체크할 수 있어 보다 신뢰성 있는 정보로 판단이 가능하다.For example, hash information can be used as search information for the presence or absence of malicious code in a file through the Virus Total website or the Malwares website. You can receive information such as the file provider and the hash value of the file through a website that provides hash information analysis of the file. In addition, search results for file hash information can be judged as more reliable information by cross-checking reputation information determined by global companies that provide multiple IT information security solutions.
표적형 이메일 보안 위협 검사부(130)는 사전 설정된 표적형 이메일 보안 위협 검사 프로세스에 따라, 상기 메일정보에 대응하는 메일보안 검사 프로세스의 단계별 매칭을 처리하고, 상기 매칭 처리된 메일보안 프로세스에 의해 상기 메일정보를 검사하며, 상기 검사결과에 따른 메일보안 검사정보를 저장 및 관리할 수 있다.The targeted email security threat inspection unit 130 processes step-by-step matching of the mail security inspection process corresponding to the mail information according to a preset targeted email security threat inspection process, and detects the mail by the matched mail security process. Information can be inspected, and mail security inspection information according to the inspection results can be stored and managed.
여기서, 상기 표적형 이메일 보안 위협 검사 프로세스는, 신규 수신 메일 또는 신규 발신 메일에 대응하여, 상기 보안 위협 정보 동기화 데이터를 이용한, 특정 이메일 계정을 대상으로 하는 스팸 공격 위협 검사, 악성코드 이메일 공격 위협 검사, 사회공학적 이메일 공격 위협 검사, 이메일 정보 유출 위협 검사 중 적어도 하나를 포함할 수 있다.Here, the targeted email security threat screening process includes spam attack threat screening targeting a specific email account using the security threat information synchronization data in response to new incoming mail or new outgoing email, It may include at least one of a malware email attack threat scan, a social engineering email attack threat scan, and an email information leakage threat scan.
또한, 이러한 스팸 공격 위협 검사, 악성코드 이메일 공격 위협 검사, 사회공학적 이메일 공격 위협 검사, 이메일 정보 유출 위협 검사는 각 보안 위협 유형에 따라, 사전 설정된 단계적 우선 순위가 설정되고, 순차적으로 처리될 수 있다.Additionally, these spam attack threats are checked, Malicious code email attack threat scanning, social engineering email attack threat scanning, and email information leakage threat scanning have preset step-by-step priorities according to each security threat type and can be processed sequentially.
또한, 상기 표적형 이메일 보안 위협 검사 프로세스는, 신규 수신 메일 또는 신규 발신 메일에 대응하는 서로 다른 메일보안 프로세스가 결정될 수 있다. 또한 상기 메일보안 프로세스의 검사 대상, 검사 순서 또는 검사 방식은, 동기화된 보안 위협 정보 동기화 데이터에 의해 미리 결정될 수 있다.Additionally, in the targeted email security threat inspection process, different email security processes corresponding to new incoming mail or new outgoing mail may be determined. Additionally, the inspection target, inspection order, or inspection method of the mail security process may be determined in advance by synchronized security threat information synchronization data.
상기 표적형 이메일 보안 위협 검사 프로세스는, 수신(인바운드) 또는 발신(아웃바운드)을 위한 메일정보가 사용자 단말(200)에서 전송되면 독립적으로 구분 된 프로세스를 리소스로 할당하고, 상기 메일정보에서 할당된 검사영역에서 즉각적으로 실행될 수 있다. 유동적 리소스 할당 방식은 가상공간 개념으로 설명될 수 있다. 상기 가상공간으로 리소스를 할당하는 방식에서 메일보안 프로세스는 처리가 완료 시, 순차적으로 유입되는 메일정보에서 할당된 검사영역에서 작업을 즉각적으로 처리할 수 있다. The targeted email security threat inspection process allocates independently separated processes as resources when mail information for reception (inbound) or transmission (outbound) is transmitted from the user terminal 200, and It can be executed immediately in the inspection area. The flexible resource allocation method can be explained with the concept of virtual space. In the method of allocating resources to the virtual space, the mail security process can immediately process work in the assigned inspection area from sequentially incoming mail information upon completion of processing.
대조적으로 가상환경, 가상머신과 같이 하나의 리소스 안에서 처리가 제한되는 일정 프로세스가 할당된 환경은 요청되는 작업을 처리 시, 특정 프로세스의 처리가 완료되기 까지 다른 프로세스들이 대기하는 아이들(idle) 타임을 가질 수 있다. 이처럼 프로세스를 통한 분석 방식에 있어서, 유동적 리소스는 고정형 리소스와 비교 시 처리 속도 및 성능에서 우위를 가질 수 있다.In contrast, environments such as virtual environments and virtual machines where certain processes are assigned with limited processing within one resource require idle time when other processes wait for the specific process to complete when processing a requested task. You can have it. In this process-based analysis method, flexible resources can have an advantage in processing speed and performance compared to fixed resources.
상기 표적형 이메일 보안 위협 검사부(130)는 상기 검사 데이터 수집부(120)에서 수집된 상기 메일정보에 따라 수신 또는 발신 목적으로 메일을 구분할 수 있다. 이 후, 상기 표적형 이메일 보안 위협 검사부(130)는 상기 메일보안 프로세스를 순차적 또는 설정된 우선순위에 근거하여 매칭하고 분석함으로써 각각의 메일에 대한 표적형 이메일 보안 검사 정보를 획득할 수 있다.The targeted email security threat inspection unit 130 can classify mail for reception or sending purposes according to the mail information collected by the inspection data collection unit 120. Afterwards, the targeted email security threat inspection unit 130 can obtain targeted email security inspection information for each mail by matching and analyzing the mail security processes sequentially or based on a set priority.
여기서, 상기 표적형 이메일 보안 위협 검사부(130)는, 악성코드를 이용한 이메일 위협 유형뿐 아니라 악성코드가 없는 공격 유형에 대한 검사도 처리할 수 있다. 표적형 이메일 공격의 구체적인 유형은, 악성코드 공격 뿐만 아니라, 사칭, 계정 탈취 등과 같은 사회공학적 공격이 있을 수 있으며, 이로 인한 비고의적 정보 유출 또는 고의적 정보 유출 공격 등도 해당될 수 있다.Here, the targeted email security threat inspection unit 130 can inspect not only email threat types using malicious code but also types of attacks without malicious code. Specific types of targeted email attacks include not only malware attacks, but also social engineering attacks such as impersonation and account takeover, which can also include unintentional or intentional information leak attacks.
이에 따라, 표적형 이메일 보안 위협 검사부(130)는, 각각의 유형별 공격을 단계적으로 검출하기 위하여, 스팸 공격 위협 검사부(131), 악성코드 공격 위협 검사부(133), 사회공학적 공격 위협 검사부(135) 및 정보 유출 검사부(137)를 포함한다.Accordingly, the targeted email security threat inspection unit 130 includes a spam attack threat inspection unit 131, a malicious code attack threat inspection unit 133, and a social engineering attack threat inspection unit 135 to detect each type of attack in stages. and an information leak inspection unit 137.
여기서, 표적형 이메일 보안 위협 검사부(130)는, 보안 위협 정보 동기화 처리부(140)에서 사전 구성된 보안 위협 정보 동기화 데이터를 이용할 수 있다. Here, the targeted email security threat inspection unit 130 may use the security threat information synchronization data preconfigured in the security threat information synchronization processing unit 140.
이를 위해, 보안 위협 정보 동기화 처리부(140)는, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성할 수 있다.To this end, the security threat information synchronization processing unit 140 provides targeted email security threat information configured according to the performance of a targeted email security threat check of incoming mail, and targeted email security threat information configured according to the performance of a targeted email security threat check of outgoing mail. By synchronizing security threat information, you can configure security threat information synchronization data.
여기서, 보안 위협 정보 동기화 데이터는, 각 검사 프로세스 및 외부의 보안 서버로부터 수집된 악성 파일 정보 및 악성 계정에 대한 식별 정보를 포함할 수 있으며, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 구성될 수 있다.Here, the security threat information synchronization data may include malicious file information and identification information on malicious accounts collected from each inspection process and an external security server, and may include a target configured according to the performance of a targeted email security threat inspection of incoming mail. It can be configured by synchronizing type email security threat information and targeted email security threat information configured according to the performance of targeted email security threat inspection of outgoing mail.
예를 들어, 상기 보안 위협 정보 동기화 데이터는 특정 수신 메일의 표적형 이메일 보안 위협 검사에서 악성 위협 레벨이 높은 것으로 검사된 파일 정보나, 사칭이나 계정 탈취 가능성이 높은 것으로 검사된 발신자 계정 정보를 포함할 수 있다.For example, the security threat information synchronization data may include file information that was scanned as having a high malicious threat level in a targeted email security threat scan of a specific incoming email, or sender account information that was scanned as having a high possibility of impersonation or account takeover. You can.
또한, 상기 보안 위협 정보 동기화 데이터는 특정 발신 메일의 표적형 이메일 보안 위협 검사에서, 정보 유출 위협 레벨이 높은 것으로 검사된 파일 정보나, 사칭이나 계정 탈취 가능성이 높은 것으로 검사된 수신자 계정 정보를 포함할 수 있다.In addition, the security threat information synchronization data may include file information that was inspected as having a high information leakage threat level in a targeted email security threat inspection of a specific outgoing mail, or recipient account information that was inspected as having a high possibility of impersonation or account takeover. You can.
그리고, 상기 보안 위협 정보 동기화 데이터는, 유사 도메인 공격과 연관된 것으로 검출된 이메일 계정 및 도메인 정보를 포함하는 유사 도메인 검사 정보를 포함할 수 있다.Additionally, the security threat information synchronization data may include similar domain inspection information including email account and domain information detected to be associated with a similar domain attack.
또한, 상기 보안 위협 정보 동기화 데이터는, 계정 탈취 공격과 연관된 것으로 검출된 이메일 계정 및 도메인 정보를 포함하는 계정 탈취 공격 검사 정보를 포함할 수 있다.Additionally, the security threat information synchronization data may include account takeover attack inspection information including email account and domain information detected to be associated with the account takeover attack.
그리고, 상기 보안 위협 동기화 데이터는, URL 링크의 리다이렉션 경로 정보를 메일 수신일 이후에 변경하는 제로 데이 URL 공격 검사 정보와, 시스템 보안 취약점이 발견된 뒤에 이를 막을 수 있는 패치가 발표되기도 전에 이를 이용한 악성코드나 해킹 공격을 처리하는 제로 데이 멀웨어(zero-day malware) 검사 정보를 포함할 수 있다.In addition, the security threat synchronization data includes zero-day URL attack inspection information that changes the redirection path information of the URL link after the email receipt date, and malicious attacks that use the system security vulnerability after it is discovered and before a patch to prevent it is released. May include zero-day malware scanning information to address code or hacking attacks.
또한, 상기 보안 위협 동기화 데이터는, 이메일 서버 정보, 경유지 정보 및 발송자 정보를 포함하는 전송 라우팅 검사 정보(Delivery routing information)를 더 포함할 수 있다.Additionally, the security threat synchronization data may further include delivery routing information including email server information, destination information, and sender information.
나아가, 상기 보안 위협 정보 동기화 데이터는, 표적형 이메일 보안 위협 검사부(130)의 각 처리부에서 처리되는 검사 데이터를 이용하여 지속적으로 갱신 처리될 수 있는 바, 이에 따라 발신 및 수신 보안 시스템의 통합적인 보안 관리가 가능하며, 표적형 이메일 공격으로 인한 내부 시스템 손상이나, 외부로의 정보 유출을 사전에 효과적으로 방지할 수 있다.Furthermore, the security threat information synchronization data can be continuously updated using inspection data processed in each processing unit of the targeted email security threat inspection unit 130, thereby providing integrated security of the sending and receiving security systems. It is manageable and can effectively prevent internal system damage or information leakage to the outside due to targeted email attacks.
이러한 보안 위협 정보 동기화 데이터는, 후술할 각 보안 검사 프로세스에서 검사되는 정보로서, 알려지지 않은 악성 코드 정보, 첨부파일 악성 코드 정보, URL 악성 코드 정보, 헤더 위변조 정보, 유사 도메인 정보, 계정 탈취 정보, URL 피싱 정보, 고의적 정보 유출 정보, 비고의적 정보 유출 정보, 비승인된 이메일 서버 접근 정보 등이 예시될 수 있다.This security threat information synchronization data is information inspected in each security inspection process to be described later, and includes unknown malicious code information, attachment malicious code information, URL malicious code information, header forgery information, similar domain information, account takeover information, and URL. Examples may include phishing information, intentional information leakage information, unintentional information leakage information, and unauthorized email server access information.
이러한 검사 프로세스를 수행하고 보안 위협 정보 동기화 데이터를 구성하기 위해, 먼저, 상기 표적형 이메일 보안 위협 검사부(130)는 스팸메일 검사부(131)를 포함할 수 있다.To perform this inspection process and configure security threat information synchronization data, first, the targeted email security threat inspection unit 130 may include a spam mail inspection unit 131.
상기 스팸메일 검사부(131)는 상기 메일보안 프로세스가 스팸메일 보안 프로세스인 경우, 메일 헤더 정보, 메일 제목, 메일 내용 본문, 일정 기간 수신 횟수 등을 포함하는 상기 메일정보를 사전 설정한 스팸지표와 단계별로 매칭할 수 있다.If the mail security process is a spam mail security process, the spam mail inspection unit 131 combines the mail information, including mail header information, mail title, mail content body, number of receptions during a certain period, etc. with preset spam indicators and step-by-step spam indicators. You can match with .
여기서, 상기 스팸메일 보안위협은 관계없는 발신자와 수신자 간에 광고와 홍보 등을 목적으로 일방적, 대량으로 불특정 다수에게 무차별적으로 살포되는 메일 유형을 포함할 수 있다. 또한 대량의 스팸메일은 메일 시스템의 데이터 처리 능력에 부하를 주게 되어 시스템의 처리 능력을 저하시키는 원인이 될 수도 있다. 또한 스팸메일은 내용 본문 등에 포함된 무분별한 정보에 대하여 사용자가 의도하지 않게 연결될 수 있고 잠재적인 피싱 사기를 위한 정보로 위장될 수 있는 위험성이 있다.Here, the spam mail security threat may include a type of mail that is indiscriminately distributed unilaterally and in large quantities to an unspecified number of people for the purpose of advertising and promotion between unrelated senders and recipients. Additionally, large amounts of spam mail can place a load on the data processing capacity of the mail system, which may cause the system's processing capacity to deteriorate. Additionally, there is a risk that spam emails may unintentionally connect users to indiscriminate information contained in the content and may be disguised as information for potential phishing scams.
따라서, 상기 스팸메일 검사부(131)는 메일 헤더 정보와 메일 제목, 메일 내용 본문 등을 포함하는 메일정보에 대하여 스팸메일로 구분할 수 있는 일정 패턴 검사 등을 통해 스팸지표에서 검사항목으로 이용할 수 있다. 이를 통해 상기 스팸메일 검사부(131)는 상기 스팸지표를 단계별로 매칭하여 스팸메일 검사정보를 획득하고 저장 및 관리할 수 있다. Accordingly, the spam mail inspection unit 131 can use mail information, including mail header information, mail title, and mail content body, as a check item in the spam indicator by checking a certain pattern that can be classified as spam mail. Through this, the spam mail inspection unit 131 can acquire, store, and manage spam mail inspection information by matching the spam indicators step by step.
또한, 상기 표적형 이메일 보안 위협 검사부(130)는 악성코드 공격 위협 검사부(132)를 더 포함할 수 있다.In addition, the targeted email security threat inspection unit 130 may further include a malicious code attack threat inspection unit 132.
악성코드는, 피해자의 컴퓨터 시스템에 있는 메모리에 액세스하여 파일과 프로그램을 손상시키거나 삭제할 수 있는 것으로, 여기서, 표적형 이메일 보안 위협 검사 대상인 악성코드 공격은, 크게 3가지 공격으로 그 유형이 구분될 수 있는 바, 악성코드 공격 위협 검사부(133)는, 각 공격 유형별 검사 프로세스를 수행을 위한 동기화된 보안 위협 정보 동기화 데이터를 확인할 수 있으며, 검사 결과에 따른 검사 데이터를 보안 위협 정보 동기화 처리부(140)로 전달하여, 다시 보안 위협 정보 동기화 데이터를 갱신하도록 처리할 수 있다.Malicious code can access the memory of the victim's computer system and damage or delete files and programs. Here, malware attacks that are subject to targeted email security threat inspection can be broadly divided into three types. As can be seen, the malware attack threat inspection unit 133 can check the synchronized security threat information synchronization data for performing the inspection process for each attack type, and sends the inspection data according to the inspection results to the security threat information synchronization processing unit 140. It can be processed again to update the security threat information synchronization data.
먼저, 알려지지 않은 악성코드를 위한 공격 유형은, 빅데이터 데이터베이스에 등록되지 않아 백신 테스트에서 탐지하기 어려운 새로운 알려지지 않은 악성코드를 사용한 공격을 의미한다. 예를 들어, 공격자는 발송 당일이 아닌 일정 시간 이후에 메일 내 URL 링크나 첨부파일의 접속 경로를 리다이렉션하는 방식으로, 악성 코드를 배포하는 제로데이 취약점을 악용하여, 보안 솔루션이 탐지하지 못하는 새로운 악성코드가 포함된 첨부 파일을 삽입하고 사용자의 클릭을 유도하는 이메일을 발송할 수 있다. First, the type of attack for unknown malicious code refers to an attack using new, unknown malicious code that is difficult to detect in anti-virus tests because it is not registered in the big data database. For example, attackers exploit zero-day vulnerabilities to distribute malicious code by redirecting the access path of URL links or attachments in emails after a certain time, not on the day of sending, to create new malicious code that cannot be detected by security solutions. You can insert an attachment containing code and send an email encouraging users to click.
또한, 첨부파일의 악성코드 공격은, 악성 이메일 첨부 파일은 공격자가 일반적으로 이메일로 보내는 파일 내부에 악성 코드를 숨기는 위협 유형으로서, 이러한 악성 이메일의 첨부 파일은 문서, 컴파일 및 실행 파일, 심지어 이미지 및 비디오 파일로 위장할 수 있고, 다른 확장자를 사용하여 암호화된 파일일 수도 있다. 나아가, 실행 파일을 사용한 공격에는 악성 문서가 포함된 이메일을 열도록 수신자를 속이기 위해 보낸 사람의 주소를 위조할 수도 있으며, 이미지에 악성코드를 삽입하여 이메일 본문에 첨부하는 공격을 포함할 수 있다.Additionally, malware attacks in attachments are a type of threat in which attackers hide malicious code inside files that attackers usually send by email. Attachments in these malicious emails include documents, compiled and executable files, and even images and files. It can be disguised as a video file, or it can be an encrypted file using a different extension. Furthermore, attacks using executable files may include forging the sender's address to trick recipients into opening an email containing a malicious document, or inserting malicious code into an image and attaching it to the body of the email.
한편, URL을 이용한 악성코드 공격은 사용자를 악성 웹사이트로 유인할 목적으로 이메일에 악성코드가 포함된 클릭 가능한 링크를 삽입하는 공격 유형일 수 있다. 악성 URL은 대용량 첨부 파일 또는 이메일 본문에 포함될 수 있는 바, 사용자가 이메일 또는 일반 첨부 파일의 URL을 클릭할 때뿐만 아니라 전달 시에만 악성 코드가 실행되도록 하는 공격도 포함될 수 있다.Meanwhile, a malicious code attack using a URL may be a type of attack that inserts a clickable link containing malicious code into an email with the purpose of luring the user to a malicious website. Malicious URLs can be included in large attachments or in the body of an email, which can also include attacks that cause malicious code to be executed only when delivered, as well as when the user clicks on the URL of the email or regular attachment.
상기 악성코드 공격 위협 검사부(132)는 전술한 각 유형별 보안 검사 프로세스를 수행하기 위해, 첨부파일의 해시정보, 첨부파일명, 첨부파일 내용 본문, URL(Uniform Resource Locator) 정보 등을 더 포함하는 상기 메일정보를 사전 설정한 악성코드지표와 단계별로 매칭할 수 있다.In order to perform the security check process for each type described above, the malicious code attack threat inspection unit 132 further includes the hash information of the attached file, the attached file name, the body of the attached file content, and URL (Uniform Resource Locator) information. Information can be matched step by step with preset malware indicators.
상기 악성코드 공격 위협 검사부(132)는 첨부파일의 속성값으로 확인할 수 있는 첨부파일의 확장자, 첨부파일의 해시정보, 첨부파일명 등과 함께 첨부파일 내용 본문과 내용 본문에 포함되는 URL(Uniform Resource Locator) 정보를 악성코드지표 검사 항목으로 이용할 수 있다. 이를 통해 상기 악성코드 공격 위협 검사부(132)는 상기 악성코드지표를 각 유형 및 항목에 따라 단계별로 매칭하여 악성코드 검사정보를 획득하고, 레코드 관리부(170)를 통해 저장 및 관리할 수 있으며, 보안 위협 정보 동기화 처리부(140)로 제공하여, 보안 위협 정보 동기화 데이터의 갱신을 처리할 수 있다.The malicious code attack threat inspection unit 132 detects the attachment file extension, hash information of the attached file, attached file name, etc., which can be confirmed by the attribute value of the attached file, as well as the body of the attached file and the URL (Uniform Resource Locator) included in the content. The information can be used as a malware indicator inspection item. Through this, the malware attack threat inspection unit 132 matches the malware indicators step by step according to each type and item to obtain malware inspection information, stores and manages it through the record management unit 170, and provides security. It can be provided to the threat information synchronization processing unit 140 to process the update of security threat information synchronization data.
상기 악성코드지표는 단계별로 메일정보에 포함되는 항목에 기반한 검사항목과 검사를 통한 수준값이 설정될 수 있으며, 각 검사 수준값은 전술한 보안 위협 정보 동기화 데이터에 따라 갱신될 수 있다.The malicious code indicator can be set to a level value through inspection items and inspection based on items included in the mail information at each stage, and each inspection level value can be updated according to the above-mentioned security threat information synchronization data.
예를 들어, 상기 악성코드지표 Level 1은 보안 위협 정보 동기화 데이터로부터 획득되는 빅데이터 및 평판 정보에 기반하여 메일정보에 포함되는 첨부파일명, 첨부파일의 확장자를 매칭할 수 있다. 이를 통해 상기 악성코드지표 Level 1은 평가된 수준값을 악성코드지표 Level 1의 검사정보로 획득할 수 있다. 예를 들어, 상기 악성코드지표 Level 1의 검사정보는 검사항목인 첨부파일명이 'Trojan', 첨부파일의 확장자가 'exe'를 포함하고 있을 시, 상기 빅데이터 및 평판 정보에서 악성코드로 정의된 정보와 일치되는 경우, 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 악성코드지표 Level 1의 검사정보는 '1'로 획득될 수 있다.For example, the malware indicator Level 1 can match the attachment file name and extension of the attachment included in mail information based on big data and reputation information obtained from security threat information synchronization data. Through this, the Malicious Code Index Level 1 can obtain the evaluated level value as inspection information for Malicious Code Index Level 1. For example, the inspection information of the malicious code indicator level 1 is defined as malicious code in the big data and reputation information when the attachment file name, which is a inspection item, includes 'Trojan' and the extension of the attachment file is 'exe'. If it matches the information, it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of Malicious Code Index Level 1 can be obtained as '1'.
추가적으로 상기 악성코드지표 Level 2는 보안 위협 정보 동기화 데이터로부터 획득되는 빅데이터 및 평판 정보에 기반하여 메일 첨부파일의 해시정보를 매칭할 수 있다. 이를 통해 평가된 수준값을 악성코드지표 Level 2의 검사정보로 획득할 수 있다. 예를 들어, 상기 악성코드지표 Level 2의 검사정보는 검사항목인 첨부파일 해시정보가 'a1b2c3d4'로 분석 시, 상기 평판 정보에서 악성코드로 정의된 정보와 일치되는 경우 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 악성코드지표 Level 2의 검사정보는 '1'로 획득될 수 있다.Additionally, the malware indicator Level 2 can match hash information of email attachments based on big data and reputation information obtained from security threat information synchronization data. Through this, the evaluated level value can be obtained as inspection information for Malicious Code Index Level 2. For example, the inspection information of Malicious Code Index Level 2 is divided into levels of 0 and 1 when the hash information of the attached file, which is a inspection item, is analyzed as 'a1b2c3d4' and matches the information defined as malicious code in the reputation information. The value may be evaluated as '1'. Through this, the inspection information of Malicious Code Index Level 2 can be obtained as '1'.
다음 단계로 상기 악성코드지표 Level 3은 보안 위협 정보 동기화 데이터로부터 획득되는 URL 평판 정보에 기반하여 첨부파일 또는 메일 내용 본문에 포함된 URL(Uniform Resource Locator) 정보를 매칭할 수 있다. 이를 통해 평가된 수준값을 악성코드지표 Level 3의 검사정보로 획득할 수 있다. 예를 들어, 상기 악성코드지표 Level 3의 검사정보는 검사항목인 URL 정보가 'www.malicious-code.com'으로 확인 시, 상기 URL 평판 정보에서 악성코드 파일이 포함되는 유해 사이트로 정의된 정보와 일치되는 경우 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 악성코드지표 Level 3의 검사정보는 '1'로 획득될 수 있다. 그리고 상기 악성코드 공격 위협 검사부(132)는 URL 평판 정보에서 누락될 수 있는 제로데이 공격에 대응할 수 있다. 상기 악성코드 공격 위협 검사부(132)는 평판 정보가 없는 URL에 대한 링크 IP 주소를 특정 시스템의 IP 주소로 변경하고 변경된 IP 주소를 사용자단말(200)에 제공할 수 있다. 상기 사용자단말(200)은 상기 URL에 접속하고자 할 시, 상기 악성코드 공격 위협 검사부(132)가 변경한 특정 시스템의 IP 주소로 접속될 수 있다. 이 전에 상기 URL에 대한 링크 IP 주소로 변경된 특정 시스템은 지속적으로 URL의 엔드포인트까지 악성코드 포함 여부를 검사할 수 있다.In the next step, the malware indicator level 3 can match URL (Uniform Resource Locator) information included in the attached file or email content based on URL reputation information obtained from security threat information synchronization data. Through this, the evaluated level value can be obtained as inspection information for Malicious Code Index Level 3. For example, when the inspection information of Malicious Code Index Level 3 is confirmed as 'www.malicious-code.com', the URL reputation information is defined as a harmful site containing malicious code files. If it matches, it can be evaluated as '1' in the level values divided into 0 and 1. Through this, the inspection information of Malicious Code Index Level 3 can be obtained as '1'. And the malware attack threat inspection unit 132 can respond to zero-day attacks that may be omitted from URL reputation information. The malicious code attack threat inspection unit 132 may change the link IP address for a URL without reputation information to the IP address of a specific system and provide the changed IP address to the user terminal 200. When the user terminal 200 attempts to access the URL, it can be connected to the IP address of a specific system changed by the malicious code attack threat inspection unit 132. A specific system that has previously changed the link IP address for the URL can continuously check whether the URL's endpoint contains malicious code.
한편, 악성코드 공격 위협 검사부(133)는, 알려지지 않은 악성코드를 식별하기 위해, 보안 위협 정보 동기화 데이터를 이용한 악성코드 분류 관리를 통해, 관리자가 악성파일로 식별된 이메일을 분류 구성할 수 있도록 하며, 이에 따라 사용자가 재전송을 요청하더라도 바이러스 등이 전달되지 않도록 처리할 수 있다.Meanwhile, the malware attack threat inspection unit 133 allows the administrator to classify and configure emails identified as malicious files through malware classification management using security threat information synchronization data to identify unknown malware. , Accordingly, even if the user requests retransmission, it can be processed to prevent viruses, etc. from being transmitted.
또한, 악성코드 공격 위협 검사부(133)는, 알려지지 않은 악성코드의 검사를 위해, 다중 분석 검사를 수행할 수 있으며, 다중 분석 검사는 정적 검사와 동적 검사를 결합하여, 시스템에 대한 악성 코드의 행동을 검사하여 1차 검사에서 탐지되지 않은 새로운 바이러스를 탐지할 수있다. 행동 검사 결과는 예를 들어 '위조', '메모리 접근', '후킹 경고', '파일 생성', '파일 삭제', '프로세스 실행'으로 구분될 수 있으며, 이에 따라 악성코드 공격 위협 검사부(133)는 행동 검사 수행 결과 정보로부터 악성코드 공격 위협을 검사하고, 검사 결과를 보안 위협 정보 동기화 처리부(140)로 전달하여, 보안 위협 정보 동기화 데이터의 갱신에 이용할 수 있다.In addition, the malware attack threat inspection unit 133 can perform a multi-analysis test to check for unknown malware, and the multi-analysis test combines a static test and a dynamic test to determine the behavior of the malicious code on the system. By scanning, you can detect new viruses that were not detected in the first scan. Behavioral inspection results can be categorized into, for example, 'forgery', 'memory access', 'hooking warning', 'file creation', 'file deletion', and 'process execution', and the malware attack threat inspection department (133 ) can be used to update the security threat information synchronization data by examining the malware attack threat from the behavioral inspection result information and transmitting the inspection result to the security threat information synchronization processing unit 140.
예를 들어, 악성코드 공격 위협 검사부(133)는, 3단계로 구성된 바이러스 테스트를 수행할 수 있는 바, 1차 검사(백신 검사), 2차 테스트(환경적 운영체제 변경 테스트) 및 3차 테스트(행동 기반 분석 테스트)를 단계적으로 처리하여, 각 단계별 검사 결과를 이용한 악성코드 공격 위협을 검사할 수 있다.For example, the malware attack threat inspection unit 133 can perform a virus test consisting of three stages: the first test (vaccine test), the second test (environmental operating system change test), and the third test ( By processing the behavior-based analysis test) in stages, you can check for malware attack threats using the inspection results at each stage.
그리고, 악성코드 공격 위협 검사부(133)는, 보안 위협 정보 동기화 데이터및 빅데이터 기반의 검사를 수행하기 위해, 클라우드 서비스를 통해 사용자의 모든 수신(인바운드) 및 발신(아웃바운드) 이메일 데이터를 정기적으로 스캔하여 추가 검사가 필요한 악성 첨부 파일을 추출할 수 있다.In addition, the malware attack threat inspection unit 133 regularly checks all incoming (inbound) and outgoing (outbound) email data of users through cloud services in order to perform security threat information synchronization data and big data-based inspection. You can scan to extract malicious attachments that require further inspection.
그리고, 악성코드 공격 위협 검사부(133)는, 보안 위협 정보 동기화 데이터에 의해, 보안 위협 정보 동기화 처리부(140)에서 빅데이터로 구축된 데이터를 기반으로 표적 이메일 공격 위험 여부를 판단할 수 있다. 빅데이터 분석 기능은 위조된 확장자(예: .doc, .docx, .ppt, .pptx, .pdf, .txt, .rtf 등)까지도 악성 코드 분석 대상으로 식별하고 감지할 수 있다.In addition, the malware attack threat inspection unit 133 can determine whether there is a risk of a targeted email attack based on the security threat information synchronization data and the data constructed as big data in the security threat information synchronization processing unit 140. The big data analysis function can identify and detect even forged extensions (e.g. .doc, .docx, .ppt, .pptx, .pdf, .txt, .rtf, etc.) as targets for malicious code analysis.
한편, 악성코드 공격 위협 검사부(133)는, URL의 악성코드가 검출된 경우, 수신 메일 처리부(150)로 전달되는 메일 정보의 URL 데이터를 이미지로 변환 처리할 수 있다. 이에 따라, 첨부된 악성 URL이 인식되는 위험한 감지 환경에서 URL 링크를 열 수 없도록 방지 처리될 수 있다.Meanwhile, if malicious code in the URL is detected, the malicious code attack threat inspection unit 133 may convert the URL data of the mail information delivered to the receiving mail processing unit 150 into an image. Accordingly, the URL link can be prevented from being opened in a dangerous detection environment where the attached malicious URL is recognized.
또한, 악성코드 공격 위협 검사부(133)는, 전술한 엔드포인트 URL 모니터링을 통해 잠재적인 위험을 모니터링하고, 이메일 본문 또는 문서 파일 내 모든 URL의 최종 목적지를 지속적으로 추적 처리할 수 있다. 여기서, 악성코드 공격 위협 검사부(133)는, 모든 URL을 상호 연결된 n번째 URL로서 추적할 수 있다. 또한, 악성코드 공격 위협 검사부(133)는, 이메일 본문에 포함된 문서 파일을 URL에서 확인하며, 특히 대용량 첨부 파일의 경우, 이메일 본문의 URL을 우회하여 다운로드되는 대용량 첨부 파일에 대하여도, 다운로드 후 악성 첨부 파일 또는 문서 파일에 대한 모든 URL을 추적할 수 있다. In addition, the malware attack threat inspection unit 133 can monitor potential risks through the aforementioned endpoint URL monitoring and continuously track and process the final destination of all URLs in the email body or document file. Here, the malware attack threat inspection unit 133 can track all URLs as interconnected nth URLs. In addition, the malware attack threat inspection unit 133 checks the document file included in the email body from the URL, and in particular, in the case of large attachment files, even for large attachment files that are downloaded by bypassing the URL of the email body, after downloading Any URL to a malicious attachment or document file can be tracked.
그리고, 악성코드 공격 위협 검사부(133)는, 사용자가 이메일 수신 후 URL 링크 클릭 시도 시 파일 및 엔드포인트 스캐닝을 통해 실시간으로 URL에 대한 접근을 재점검하고, 위험이 감지되면 접근을 제한하는 URL 사후 테스팅을 수행할 수 있다. 이에 따른 URL 사후 테스팅 정보는 보안 위협 정보 동기화 데이터에 실시간으로 갱신될 수 있으며, 수신 메일 처리부(150) 및 발신 메일 처리부(160)는 이러한 보안 위협 정보 동기화 데이터에 의해 확인된 URL 사후 테스팅 결과를 참조하여, 표적형 이메일 공격에 대한 차단, 사용자 알림 등의 처리를 수행할 수 있다.In addition, the malware attack threat inspection unit 133 rechecks access to the URL in real time through file and endpoint scanning when the user attempts to click on the URL link after receiving the email, and restricts access when a risk is detected. Testing can be performed. The resulting URL post-testing information can be updated in real time in the security threat information synchronization data, and the incoming mail processing unit 150 and the outgoing mail processing unit 160 refer to the URL post-testing results confirmed by this security threat information synchronization data. Thus, processing such as blocking targeted email attacks and user notifications can be performed.
또한, 악성코드 공격 위협 검사부(133)는, 악성 코드 공격을 검사하기 위한 이미지 기반 필터링을 수행할 수 있는 바, 이는 텍스트 기반 필터링 또는 악성 첨부 파일 필터링을 피하기 위해 구성된 텍스트 악성 그래픽 이미지를 감지할 수 있다.In addition, the malware attack threat inspection unit 133 can perform image-based filtering to check for malware attacks, which can detect text malicious graphic images configured to avoid text-based filtering or malicious attachment filtering. there is.
이와 같이 상기 악성코드 보안 프로세스를 통해 악성코드지표 레벨 단위로 획득된 검사정보는 최종적으로 합산('3')되어 악성코드 검사정보로 저장 및 관리될 수 있다. 이렇게 합산된 악성코드 검사정보는 보안 위협 정보 동기화 처리부(140)로 제공되어, 보안 위협 정보 동기화 데이터의 갱신에 이용될 수 있다.In this way, the inspection information obtained in units of malicious code indicator levels through the above malicious code security process can be finally summed ('3') and stored and managed as malicious code inspection information. The aggregated malicious code inspection information is provided to the security threat information synchronization processing unit 140 and can be used to update the security threat information synchronization data.
한편, 상기 표적형 이메일 보안 위협 검사부(130)는 사회공학적 공격 위협 검사부(133)를 더 포함할 수 있다. 상기 사회공학적 공격 위협 검사부(133)는 메일보안 검사 프로세스가 사회공학적 공격 위협 보안 프로세스인 경우 실행되며, 보안 위협 정보 동기화 데이터 및 사전 설정된 사회공학적 공격 보안 위협 항목에 기초하여, 메일 정보로부터 획득되는 사회공학적 공격 분석 데이터를 항목별로 매칭할 수 있다. 상기 사회공학적 공격 분석 데이터는 메일정보에 대응하는 각 공격 유형별 분석 프로세스를 수행하여 획득될 수 있다.Meanwhile, the targeted email security threat inspection unit 130 may further include a social engineering attack threat inspection unit 133. The social engineering attack threat inspection unit 133 is executed when the mail security inspection process is a social engineering attack threat security process, and is obtained from mail information based on security threat information synchronization data and preset social engineering attack security threat items. Engineering attack analysis data can be matched by item. The social engineering attack analysis data can be obtained by performing an analysis process for each attack type corresponding to mail information.
예를 들어, 상기 사회공학적 공격 위협 검사부(133)는 정상으로 판별된 메일에서 추출될 수 있는 수신 메일 도메인, 발신 메일 도메인, 수신 메일 주소, 발신 메일 주소, 메일 라우팅, 메일 내용 본문 정보 등을 사회공학적 공격 위협 검사항목으로 이용할 수 있다. 이를 통해 상기 사회공학적 공격 위협 검사부(133)는 상기 사회공학적 공격 위협 검사항목별 유형 검사를 수행하여, 사회공학적 공격 위협 검사정보를 획득하고 저장 및 관리할 수 있다.For example, the social engineering attack threat inspection unit 133 socializes the incoming mail domain, outgoing mail domain, incoming mail address, outgoing mail address, mail routing, and mail content body information that can be extracted from mail determined to be normal. It can be used as an engineered attack threat check item. Through this, the social engineering attack threat inspection unit 133 can perform a type check for each social engineering attack threat inspection item, and obtain, store, and manage social engineering attack threat inspection information.
보다 구체적으로, 사회공학적 공격 위협 검사부(135)는, 사회공학적 공격 위협 검사항목별 공격 유형 검사를 수행함에 있어서, 헤더 위변조 검사, 유사 도메인 검사, 계정 탈취 검사 및 URL 피싱 검사를 수행할 수 있다.More specifically, the social engineering attack threat inspection unit 135 may perform header forgery inspection, similar domain inspection, account takeover inspection, and URL phishing inspection when performing an attack type inspection for each social engineering attack threat inspection item.
헤더 위변조 검사는, 공격자가 사용자의 답장시의 메일 목적지를 우회하도록 하는 이메일 헤더의 위조를 검출하는 검사를 포함할 수 있다. 헤더가 위변조 된 경우, 공격자는 회사의 자격 증명 정보 및 개인 정보가 포함될 수 있는 일반 사용자 이메일 등을 가로챌 수 있는 위험이 존재한다.The header forgery check may include a check to detect forgery of email headers that would allow an attacker to bypass the mail destination in the user's reply. If the header is forged, there is a risk that an attacker can intercept general user emails that may contain company credentials and personal information.
이에 따라, 사회공학적 공격 위협 검사부(135)는, 헤더 위변조 검사를 통해, 이러한 헤더 위변조 공격을 사전에 검출하고, 차단할 수 있도록 한다. 사회공학적 공격 위협 검사부(135)의 검사 정보에 따라, 발신 메일 처리부(160)는, 수신메일에 회신할 때 회신할 이메일 주소가 다른 경우 미리 차단하거나, 발신 사용자에게 경고 처리를 수행할 수 있다. 이러한 처리를 위해, 사회공학적 공격 위협 검사부(135)는, 이메일 통신 프로토콜의 인증 여부를 미리 확인할 수 있다.Accordingly, the social engineering attack threat inspection unit 135 detects and blocks such header forgery attacks in advance through header forgery inspection. According to the inspection information of the social engineering attack threat inspection unit 135, the outgoing mail processing unit 160 may block in advance if the reply email address is different when replying to an incoming mail, or may perform a warning process to the sending user. For this processing, the social engineering attack threat inspection unit 135 may check in advance whether the email communication protocol is authenticated.
헤더 위변조 검사에 있어서, 사회공학적 공격 위협 검사부(135)는, 이메일 통신 프로토콜 인증은 통신 프로토콜 인증은 발신자의 이메일이 통신 프로토콜(예: SPF, DKIM, DMARC) 준수 여부를 확인하여 이메일에서 위조된 발신자 주소를 감지할 수 있다.In the header forgery inspection, the social engineering attack threat inspection unit 135 verifies whether the sender's email complies with the communication protocol (e.g. SPF, DKIM, DMARC) and detects the forged sender in the email. The address can be detected.
헤더 위변조 검사에 있어서, 또한, 사회공학적 공격 위협 검사부(135)는, IP 주소 및 도메인의 발신자 평판을 관리하고 이메일 주소에 신뢰할 수 있는 도메인이 있는지 확인할 수 있다.In the header forgery inspection, the social engineering attack threat inspection unit 135 may manage the sender reputation of the IP address and domain and check whether the email address has a trustworthy domain.
예를 들어, 헤더 위변조 검사를 위해, 사회공학적 공격 위협 검사부(135)는, 이메일 헤더 정보를 분석하여 인바운드 이메일의 발신자 헤더 값(From: <id@domain>)과 회신 주소 헤더 값(Reply-To: <id@domain>)이 다른지 확인할 수 있다.For example, to check for header forgery, the social engineering attack threat inspection unit 135 analyzes email header information and determines the sender header value (From: <id@domain>) and the reply address header value (Reply-To) of the inbound email. : You can check if <id@domain>) is different.
그리고, 사회공학적 공격 위협 검사부(135)는, 각 헤더 값 중 어느 부분이 다른지 판단하여 단계별 필터링 결과를 검사 결과로서 출력할 수 있다. 예를 들어, 아이디 위변조의 경우, 발신자 헤더 값(From: <ABC@XYZ.com>)과 회신 주소 헤더 값(Reply-To: <BAC@XYZ.com>)의 'ID'가 다른 이메일인 경우에 해당할 수 있다. 또한, 도메인 위변조의경우, 발신자 헤더 값(From: <ABC@XYZ.com>)과 회신 주소 헤더 값(Reply-To: <ABC@YXZ.com>)의 'Domain'이 다른 이메일인 경우에 해당할 수 있다. 그리고, 주소 위변조의 경우, 회신시 발신자 주소가 다른 이메일인 경우에 해당할 수 있으며, 서명 위변조의 경우, 이메일 내용의 서명 부분이 다른 이메일인 경우에 해당할 수 있다.Additionally, the social engineering attack threat inspection unit 135 may determine which parts of each header value are different and output step-by-step filtering results as inspection results. For example, in the case of ID forgery, if the 'ID' of the sender header value (From: <ABC@XYZ.com>) and the reply address header value (Reply-To: <BAC@XYZ.com>) are different emails. It may apply to Additionally, in the case of domain forgery, this applies to emails where the 'Domain' of the sender header value (From: <ABC@XYZ.com>) and the reply address header value (Reply-To: <ABC@YXZ.com>) are different. can do. In addition, in the case of address forgery, this may correspond to a case where the sender's address is a different email when replying, and in the case of signature forgery, this may correspond to a case where the signature part of the email content is a different email.
유사 도메인 검사는, 공격자가 이메일 주소에서 악성 이메일을 보내는 공격 유형을 검사하는 것으로, 사람의 눈으로는 일반 발신자와 구별할 수 없을 정도로 유사하나, 공격자의 악성 도메인인 경우를 포함할 수 있다. 예를 들어 대문자 'I'와 소문자 'l'은 외형이 비슷해 공격용으로 악용될 수 있다.Similar domain checking is to check the type of attack in which an attacker sends a malicious email from an email address. It may include cases where the email address is similar enough to a normal sender to be indistinguishable from the human eye, but is an attacker's malicious domain. For example, the uppercase letter 'I' and the lowercase letter 'l' look similar and can be abused for attacks.
이에 따라, 사회공학적 공격 위협 검사부(135)는, 누적된 이메일 이력을 기반으로 발신자의 이메일 주소 또는 도메인이 유사 도메인인지 검사할 수 있으며, 수신 메일 처리부(150)는, 위험 유사도 수준을 사용자에게 알리고 해당 이메일을 차단할 수 있다.Accordingly, the social engineering attack threat inspection unit 135 can check whether the sender's email address or domain is a similar domain based on accumulated email history, and the incoming mail processing unit 150 notifies the user of the level of risk similarity. You can block the email.
여기서, 사회공학적 공격 위협 검사부(135)는, 신규 메일의 유사 메일 사기 공격 여부와 사회공학적 공격 위협 가능성을 판단하는 기준으로, 보안 위협 정보 동기화 데이터에 누적 관리된 이메일 이력의 메일 주소와, 신규 메일의 헤더 정보에 포함된 메일 주소 사이에, 서로 동일하지는 않으면서 유사한 글자의 개수 정보를 이용할 수 있다. 예를 들어, 사회공학적 공격 위협 검사부(135)는 서로 동일하지는 않으면서 유사한 글자의 개수가 적을 수록 사회공학적 공격 위협 가능성을 높게 판단하고, 판단 결과를 위험 레벨로 산출하여 검사 결과로서 출력할 수 있다.Here, the social engineering attack threat inspection unit 135 uses the email address of the email history accumulated and managed in the security threat information synchronization data, and the new email as a standard for determining whether a new email is a similar email fraud attack and the possibility of a social engineering attack threat. Information on the number of letters that are similar but not identical can be used between email addresses included in the header information. For example, the social engineering attack threat inspection unit 135 determines that the possibility of a social engineering attack threat increases as the number of similar letters that are not identical to each other decreases, and calculates the judgment result as a risk level and outputs it as a test result. .
또한, 이메일 보안 관리자가 직접 의심되는 유사 이메일 주소를 보안 위협 정보 동기화 데이터에 등록할 수도 있으며, 이메일 주소는 비슷하되 TLD(top level domain)만 다를 경우, 별도로 분류하여 관리 처리될 수 있다.Additionally, the email security manager can directly register suspected similar email addresses in the security threat information synchronization data, and if the email addresses are similar but only the TLD (top level domain) is different, they can be classified and managed separately.
보다 구체적으로, 사회공학적 공격 위협 검사부(135)는, 신규 메일의 헤더 정보에 포함된 도메인 정보와, 보안 위협 정보 동기화 처리부(140)에서 동기화 처리된 보안 위협 정보 동기화 데이터의 메일 이력에 포함된 누적 도메인 정보 간 유사도 계산을 통해, 사용자가 일반적으로 구분하기 어려운 특정 글자(예를 들어, 3글자) 이하의 유사 글자 개수를 포함하는 유사 도메인의 메일을 사회공학적 공격 위협 메일로 검출할 수 있다.More specifically, the social engineering attack threat inspection unit 135 determines the domain information included in the header information of the new mail and the accumulated mail history of the security threat information synchronization data synchronized in the security threat information synchronization processing unit 140. By calculating the similarity between domain information, emails from similar domains containing the number of similar letters less than or equal to a specific character (for example, 3 letters) that are generally difficult for users to distinguish can be detected as social engineering attack threat emails.
이에 따라, 수신 메일 처리부(150) 또는 발신 메일 처리부(160)는 신규 메일에 대응하는 사회공학적 공격 위협 검사 결과에 따라, 메일의 수신 또는 전송 차단, 메일의 수신 또는 전송 지연 또는 메일의 삭제, 사용자 경고 알림 메시지 전송 등을 포함하는 표적형 이메일 보안 위협 대응 처리를 수행할 수 있다.Accordingly, the incoming mail processing unit 150 or the outgoing mail processing unit 160 blocks reception or transmission of mail, delays reception or transmission of mail, deletes mail, or deletes mail according to the results of the social engineering attack threat test in response to new mail. Targeted email security threat response processing, including sending warning notification messages, can be performed.
예를 들어, 사회공학적 공격 위협 검사부(135)는, 신규 수신 메일의 발신자 도메인의 TLD(top level domain)이, 보안 위협 정보 동기화 데이터에 포함된 기존의 다른 메일 히스토리 정보에 비해, 일부 수정이 있거나, 문자열 배열이 일부 재정렬되어 있거나, 문자열 중 하나가 유사 문자 또는 다른 문자로 변경되어 있는 경우, 사회공학적 공격 위협 레벨을 검출할 수 있으며, 검출된 위협 레벨을 검사 결과로서 수신 메일 처리부(150)로 출력할 수 있다. 수신 메일 처리부(150)는, 사전 설정된 유사 도메인 처리 정책에 따라, 상기 위협 레벨에 따른 신규 수신 메일의 수신 차단, 수신 지연 또는 삭제 처리 및 사용자 경고 알림 메시지 처리 등을 선택적으로 수행할 수 있다.For example, the social engineering attack threat inspection unit 135 determines that the TLD (top level domain) of the sender domain of a new received email has some modifications compared to other existing mail history information included in the security threat information synchronization data. , if the string array is partially rearranged, or one of the strings is changed to a similar character or a different character, the social engineering attack threat level can be detected, and the detected threat level is sent to the receiving mail processing unit 150 as a result of the inspection. Can be printed. The incoming mail processing unit 150 may selectively block reception of new incoming mail according to the threat level, process reception delay or deletion, and process user warning notification messages, etc., according to a preset similar domain processing policy.
이러한 사회공학적 공격 위협의 유사 도메인 위험 레벨은 보안 위협 정보 동기화 데이터에 포함된 기존의 다른 메일 히스토리 정보에 대비한 일치하지 않지만 유사한 유사 문자의 변경 정도에 따라, 아래와 같이 5가지 단계로 구분되는 것이 예시될 수 있다. The similar domain risk level of this social engineering attack threat is divided into five levels as shown below, depending on the degree of change in similar characters that do not match compared to other existing mail history information included in the security threat information synchronization data. It can be.
즉, 사회공학적 공격 위협 검사부(135)는, 상기 유사 도메인 검사 수행을 통해, 상기 보안 위협 정보 동기화 데이터로부터 획득되는 누적 도메인 정보를 이용하여, 상기 신규 수신 메일에 포함된 발신자 도메인이 누적 도메인 정보에 포함된 도메인과 일치하지 않으면서, 유사한지 여부를 단계적으로 검사하는 검사 프로세스를 수행할 수 있으며, 아래와 같이 5가지 단계로 구분되는 사회공학적 공격 위협의 유사 도메인 공격 위험 단계 레벨을 검사 결과로서 출력할 수 있다.That is, the social engineering attack threat inspection unit 135 uses the accumulated domain information obtained from the security threat information synchronization data by performing the similar domain check, and determines the sender domain included in the newly received mail in the accumulated domain information. You can perform an inspection process that checks whether it is similar to the included domain step by step, and outputs the risk level of similar domain attacks of social engineering attack threats divided into five stages as the inspection result as shown below. You can.
TLD 레벨: 이메일 도메인의 마지막 세그먼트(예를 들어, .com, .net, .org 등)가 유사 문자로 변경된 경우TLD level: When the last segment of the email domain (e.g. .com, .net, .org, etc.) is changed to a similar character.
낮음 레벨: 이메일 주소 알파벳이 구분 가능한 유사 문자로 3개 이상 변경된 경우Low level: The email address alphabet has changed to three or more similar, distinguishable characters.
보통 레벨: 이메일 주소 알파벳이 구분 가능한 유사 문자로 2개 변경된 경우Normal level: When the email address alphabet has been changed to two similar, distinguishable characters.
높음 레벨: 이메일 주소 알파벳이 구분 가능한 유사 문자로 1개 변경된 경우High level: When the email address alphabet has been changed by 1 character with a similar, distinguishable character.
위험 레벨: 이메일 주소 알파벳이 구분하기 어려운(예를 들어, l(소문자 엘)과 I(대문자 아이) 등) 유사 문자로만 구성된 경우Risk level: The email address alphabet consists only of similar characters that are difficult to distinguish (for example, l (lowercase el) and I (uppercase i))
이와 같은 구성에 따라, 사회공학적 공격 위협 검사부(135)는, 상기 단계적으로 검사하는 검사 프로세스를 통해, 누적 도메인 정보에 포함된 도메인과 일치하지 않으면서, 유사한 것으로 검출된 유사 도메인의, 유사 글자 수 기반 유사 정도를 단계적으로 산출하며, 상기 유사 글자 수 기반 유사 정도에 기초하여, 상기 신규 발신 메일 또는 신규 수신 메일의 유사 도메인 기반 사회공학적 이메일 공격 위협 레벨을 결정할 수 있다.According to this configuration, the social engineering attack threat inspection unit 135, through the step-by-step inspection process, counts similar characters of similar domains that are detected as similar and do not match the domains included in the accumulated domain information. The level of similarity is calculated step by step, and based on the degree of similarity based on the number of similar characters, the threat level of a similar domain-based social engineering email attack of the new sent mail or new received mail can be determined.
이러한 유사 도메인 기반 사회공학적 이메일 공격 위협 레벨 정보는, 신규 메일의 표적형 이메일 보안 위협 검사 데이터로 구성되어, 수신 메일 처리부(150) 또는 발신 메일 처리부(160)로 전달되며, 이에 대응하는 전술한 메일의 차단, 지연 또는 삭제와, 사용자 경고 알림 프로세스가 수행될 수 있다.This similar domain-based social engineering email attack threat level information consists of targeted email security threat inspection data of new mail and is delivered to the incoming mail processing unit 150 or the outgoing mail processing unit 160, and the aforementioned mail corresponding thereto. blocking, delaying or deleting, and user alert notification processes may be performed.
한편, 사회공학적 공격 위협 검사부(135)는, 계정 탈취(ATO, Account Takeover) 검사를 수행하여, 실제 사용자의 계정을 사용하는 사회 공학적 공격 위협을 검출할 수 있다.Meanwhile, the social engineering attack threat inspection unit 135 may perform an account takeover (ATO) check to detect a social engineering attack threat using an actual user's account.
계정 탈취 공격을 통해, 공격자는 도난당한 이메일 계정에 로그인을 시도한 후 사용자의 메일 기록을 탐색하여 기밀 정보와 잠재적인 2차 피해자를 찾을 수 있다. 예를 들어, 공격자는 피싱 사이트에서 훔친 계정 정보로 송금 계정 변경을 요청하는 이메일을 보내거나 계정에 저장된 기밀 정보를 외부로 전달할 수 있다.Through an account takeover attack, an attacker can attempt to log into a stolen email account and then explore the user's email history to find confidential information and potential secondary victims. For example, an attacker can send an email requesting a change to a remittance account using account information stolen from a phishing site or transmit confidential information stored in the account to an external party.
이를 방지하기 위해, 본 발명의 실시 예에 따른 사회공학적 공격 위협 검사부(135)는, 보안 위협 정보 동기화 처리부(140)의 상기 보안 위협 정보 동기화 데이터로부터 획득되는 계정 탈취 검사 항목별 학습 데이터를 이용하여, 계정 탈취를 이용한 사회공학적 공격 위협을 검출하는 계정 탈취 검사를 수행할 수 있다.To prevent this, the social engineering attack threat inspection unit 135 according to an embodiment of the present invention uses learning data for each account takeover inspection item obtained from the security threat information synchronization data of the security threat information synchronization processing unit 140. , you can perform an account takeover test to detect threats of social engineering attacks using account takeover.
이를 위해, 보안 위협 정보 동기화 처리부(140)는 계정 탈취 검사 항목별 누적 학습 데이터를 구성할 수있으며, 상기 구성된 학습 데이터와 실제 계정 탈취 사례의 이메일 항목 데이터간의 인공지능 모델 학습 처리에 따라, 상기 신규 발신 메일 또는 상기 신규 수신 메일이 탈취된 계정에 의해 발송되는 메일 인지의 가능성을 출력하는 학습 모델을 구성할 수 있다. 여기서, 인공지능 모델 학습 처리는 알려진 인공지능 딥러닝 신경망 기술로서, CNN, DNN, RNN, LSTM, 회귀분석 등의 다양하게 알려진 학습 기술들이 응용될 수 있다.To this end, the security threat information synchronization processing unit 140 may configure accumulated learning data for each account takeover test item, and according to artificial intelligence model learning processing between the configured learning data and email item data of the actual account takeover case, the new A learning model can be constructed that outputs the possibility of recognizing that the outgoing mail or the new received mail is sent by a stolen account. Here, the artificial intelligence model learning process is a known artificial intelligence deep learning neural network technology, and various known learning technologies such as CNN, DNN, RNN, LSTM, and regression analysis can be applied.
그리고, 사회공학적 공격 위협 검사부(135)는, 계정 탈취 검사 항목별 누적 학습 데이터의 학습 모델에 신규 발신 메일 또는 신규 수신 메일의 계정 탈취 검사 항목 데이터를 적용함에 따라, 상기 신규 발신 메일 또는 상기 신규 수신 메일이 탈취된 계정에 의해 발송되는 메일 인지 여부를 검사하는 검사 프로세스를 수행할 수 있다.In addition, the social engineering attack threat inspection unit 135 applies the account takeover test item data of the newly sent email or the newly received email to the learning model of the accumulated learning data for each account takeover test item, thereby You can perform a screening process to check whether the email is sent by a hijacked account.
예를 들어, 전술한 학습 모델에 따라, 보안 위협 정보 동기화 처리부(140)는, 계정 탈취 검사를 위한 메일 정보의 헤더 구조 정보를 학습할 수 있으며, 사회공학적 공격 위협 검사부(135)는, 구성된 헤더 구조 학습 모델에 신규 수신 메일 또는 신규 발신 메일의 헤더 구조 정보를 입력하여, 계정 탈취 검사에 대응하는 유효성을 검사할 수 있다. 이러한 계정 탈취 검사 방식은, 이메일에 대한 과거 데이터의 인공지능 기반 학습 기록과, 현재 신규 데이터간의 비교 분석을 포함한다.For example, according to the above-described learning model, the security threat information synchronization processing unit 140 can learn the header structure information of mail information for account takeover inspection, and the social engineering attack threat inspection unit 135 can learn the configured header By entering header structure information of new incoming mail or new outgoing mail into the structure learning model, you can check the validity of the account takeover check. This account takeover detection method includes comparative analysis between artificial intelligence-based learning records of past data about emails and current new data.
또한, 사회공학적 공격 위협 검사부(135)는, 학습 모델 뿐만 아니라, 발신자 히스토리 정보를 이용하여, 사전 설정된 검사 프로세스에 따른 계정 탈취 검사를 수행할 수 있다.Additionally, the social engineering attack threat inspection unit 135 may perform an account takeover inspection according to a preset inspection process using not only the learning model but also sender history information.
보다 구체적으로, 상기 계정 탈취 검사 항목별 누적 학습 데이터는, 수신 메일 또는 발신 메일의 메일 헤더로부터 획득되는 발신자 히스토리 정보를 포함할 수 있으며, 사회공학적 공격 위협 검사부(135)의 상기 계정 탈취 검사는, 상기 발신자 히스토리 정보의 누적 학습 데이터와, 상기 신규 발신 메일 또는 상기 신규 수신 메일의 발신자 위치 정보 또는 발신자 IP 정보를 비교하여, 상기 신규 발신 메일 또는 상기 신규 수신 메일이 탈취된 계정에 의해 발송되는 메일 인지 여부를 검사하는 검사 프로세스를 포함할 수 있다.More specifically, the accumulated learning data for each account takeover test item may include sender history information obtained from the mail header of an incoming or outgoing email, and the account takeover test of the social engineering attack threat inspection unit 135 includes, By comparing the accumulated learning data of the sender history information with the sender location information or sender IP information of the new sent mail or the new received mail, it is determined whether the new sent mail or the new received mail is sent by a hijacked account. It may include an inspection process to check whether or not.
여기서, 상기 발신자 히스토리 정보는, 메일 발송 IP 및 메일 서버 IP 에 기초하여 구성되는, 초기 목적지(destination) 정보, 경유지(waypoint) 정보 및 최종 목적지(destination) 정보를 포함하고, 상기 계정 탈취 검사는, 상기 신규 발신 메일 또는 상기 신규 수신 메일의 헤더로부터 획득되는 초기 목적지(destination) 정보, 경유지(waypoint) 정보 또는 최종 목적지(destination) 정보를 비교하여, 상기 신규 발신 메일 또는 상기 신규 수신 메일이 탈취된 계정에 의해 발송되는 메일 인지 여부를 검사하는 검사 프로세스를 포함할 수 있다.Here, the sender history information includes initial destination information, waypoint information, and final destination information, which are configured based on the mail sending IP and mail server IP, and the account takeover test is performed by: The account from which the new sent mail or the new received mail was stolen by comparing the initial destination information, waypoint information, or final destination information obtained from the header of the new sent mail or the new received mail. It may include an inspection process that checks whether the mail is sent by .
보다 구체적으로, 계정 탈취가 발생된 경우, 발신자의 위치 또는 IP 주소가 변경될 가능성이 높다. 이에 따라, 보안 위협 정보 동기화 처리부(140)는 보안 위협 정보 동기화 데이터에 발신자의 위치 정보와 IP 이력 정보를 매핑하여 누적 관리할 수 있으며, 사회공학적 공격 위협 검사부(135)는, 계정 탈취 검사를 위해, 메일 정보의 헤더 정보를 분석하여, 발신자의 위치 정보와 IP 이력 정보가 변경되었는지 여부를 검사할 수 있다.More specifically, if an account takeover occurs, the sender's location or IP address is likely to change. Accordingly, the security threat information synchronization processing unit 140 can cumulatively manage the sender's location information and IP history information by mapping them to the security threat information synchronization data, and the social engineering attack threat inspection unit 135 performs account takeover inspection. , By analyzing the header information of the mail information, it is possible to check whether the sender's location information and IP history information have changed.
여기서, 발신자의 위치 정보와 IP 이력 정보는, 발신자의 국가 정보, 발신자 IP 주소 정보, 서버 IP 주소 정보를 포함할 수 있다. 특히, 이메일의 헤더 정보에는 이메일이 처음 작성되어 발신된 IP 정보(초기 목적지 정보, Initial destination)보와, 메일이 중간 전달된 서버 IP 주소(경유지 정보, waypoint)와, 최종적으로 이메일을 발송한 서버의 IP(최종 목적지 정보, final destination) 포함될 수 있다.Here, the sender's location information and IP history information may include the sender's country information, sender IP address information, and server IP address information. In particular, the header information of the email includes the IP information from which the email was first created and sent (initial destination information), the server IP address to which the email was delivered (waypoint information), and the server that ultimately sent the email. IP (final destination information) may be included.
즉, 이메일 헤더 정보에는 메일 전송을 위한 발신 서버의 IP 주소 히스토리로서, 초기 목적지 정보, 경유지 정보 및 최종 목적지 정보가 포함되는 바 보안 위협 정보 동기화 처리부(140)는 보안 위협 정보 동기화 데이터에, 상기 초기 목적지 정보, 경유지 정보 및 최종 목적지 정보를 포함하는, 발신자의 위치 정보와 IP 이력 정보를 매핑하여 누적 관리할 수 있는 것이다.That is, the email header information is the IP address history of the sending server for mail transmission, and includes initial destination information, transit information, and final destination information. The security threat information synchronization processing unit 140 includes the initial destination information in the security threat information synchronization data. It is possible to cumulatively manage the sender's location information and IP history information, including destination information, transit information, and final destination information, by mapping them.
그리고, 사회공학적 공격 위협 검사부(135)는, 각 누적 관리된 발신자의 위치 정보와 IP 이력 정보로부터 획득되는 상기 초기 목적지 정보, 경유지 정보 및 최종 목적지 정보와, 신규 메일의 헤더 정보를 비교하여 발신자의 계정이 탈취되었는지 여부를 검사할 수 있다.In addition, the social engineering attack threat inspection unit 135 compares the initial destination information, transit information, and final destination information obtained from each cumulatively managed sender's location information and IP history information with the header information of the new mail to determine the sender's identity. You can check whether your account has been hijacked.
보다 구체적으로, 예를 들면 계정 탈취로 결정하는 경우는 아래와 같이 예시될 수 있다.More specifically, for example, a decision to take over an account can be exemplified as follows.
- 초기 목적지 변경의 경우: 신규 메일의 헤더 정보에 포함된 이메일의 발신자 위치 및 IP의 초기 목적지(최초 이메일이 발송 요청된 메일 서버의 IP주소)가, 각 누적 관리된 발신자의 위치 정보와 IP 이력 정보와는 다른, 변경된 국가로 식별되는 경우, (예: 누적 관리된 발신자의 초기 목적지가 1.1.1.1(국가 A)이고, 최종 목적지가 2.2.2.2(국가 A)인데, 신규 메일의 헤더는 초기 목적지가 3.3.3.3(국가 B)이고, 최종 목적지가 2.2.2.2(국가 A) 인 경우)- In case of changing the initial destination: The initial destination of the sender location and IP of the email included in the header information of the new email (IP address of the mail server from which the first email was requested) is changed to each cumulative managed sender's location information and IP history. If the country is identified as changed and different from the information (e.g., the cumulative managed sender's initial destination is 1.1.1.1 (Country A) and the final destination is 2.2.2.2 (Country A), the header of the new mail will be the initial destination. If the destination is 3.3.3.3 (Country B) and the final destination is 2.2.2.2 (Country A)
- 최종 목적지 변경의 경우: 신규 메일의 헤더 정보에 포함된 이메일의 발신자 위치 및 IP의 최종 목적지(마지막으로 이메일을 최종 발송 처리한 메일 서버의 IP 주소)가, 각 누적 관리된 발신자의 위치 정보와 IP 이력 정보와는 다른, 변경된 국가로 식별되는 경우(예: 누적 관리된 발신자의 경유지가 1.1.1.1(국가 A)이고, 최종 목적지가 2.2.2.2(국가 A)인데, 신규 메일의 헤더는 경유지가 3.3.3.3(국가 B)이고, 최종 목적지가 3.3.3.3(국가 B) 로 변경된 경우)- In case of final destination change: The final destination of the email sender location and IP included in the header information of the new email (the IP address of the mail server that last sent the email) is combined with each accumulated and managed sender location information. If it is identified as a changed country that is different from the IP history information (e.g., the cumulatively managed sender's transit point is 1.1.1.1 (Country A) and the final destination is 2.2.2.2 (Country A), the header of the new mail contains the transit point. is 3.3.3.3 (Country B), and the final destination is changed to 3.3.3.3 (Country B))
이에 따라, 사회공학적 공격 위협 검사부(135)는, 계정 탈취 공격 검사를 수행하고, 검사 결과를 수신 메일 처리부(150) 및 발신 메일 처리부(160)로 전달할 수 있다.Accordingly, the social engineering attack threat inspection unit 135 may perform an account takeover attack inspection and transmit the inspection results to the incoming mail processing unit 150 and the outgoing mail processing unit 160.
예를 들어, 발신 메일 처리부(160)는, 발신자의 현재 위치가 이전에 수신한 이메일과 다를 경우, 계정 탈취 검사 결과를 사용자에게 경고하거나, 발신 이메일을 차단 처리할 수 있다. 또한, 수신 메일 처리부(150)는, 수신된 이메일 서버의 IP 주소가 이전에 수신된 이메일과 다를 경우, 계정 탈취 검사 결과를 사용자에게 경고하거나 이메일을 차단 처리할 수 있다. 나아가, 수신 메일 처리부(150)는, 현재 이메일이 이전에 수신한 이메일과 발송 경로가 다를 경우, 계정 탈취 검사 결과를 사용자에게 경고하거나 이메일 차단을 권장 처리할 수 있다. 또한, 사회공학적 공격 위협 검사부(135)는, 특정 대역 또는 IP 대역에 따라 이메일을 차단하는 인바운드 관리 기능을 수행할 수도 있다.For example, if the current location of the sender is different from the previously received email, the outgoing mail processing unit 160 may warn the user of the account takeover test results or block the outgoing email. Additionally, if the IP address of the received email server is different from the previously received email, the receiving mail processing unit 150 may warn the user of the result of an account takeover test or block the email. Furthermore, if the current email has a different sending path from a previously received email, the receiving mail processing unit 150 may warn the user of the result of an account takeover test or recommend blocking the email. Additionally, the social engineering attack threat inspection unit 135 may perform an inbound management function to block emails according to a specific band or IP band.
한편, 사회공학적 공격 위협 검사부(135)는, URL 피싱 검사를 더 수행할 수 있다. URL 피싱이란 피해자의 아이디와 비밀번호를 도용하기 위해 공격자가 피싱 페이지나 웹사이트를 만들어 이메일에 포함된 악성 URL이나 파일을 통해 피해자가 계정 정보를 입력하도록 유도하는 공격을 말한다.Meanwhile, the social engineering attack threat inspection unit 135 may further perform URL phishing inspection. URL phishing is an attack in which an attacker creates a phishing page or website to steal the victim's ID and password and induces the victim to enter account information through a malicious URL or file included in the email.
예를 들어, 피싱 검사를 위해, 사회공학적 공격 위협 검사부(135)는, 이메일 사용자가 피싱 사이트에 접속하여 아이디와 비밀번호를 입력할 때 해당 URL 내에서 해당 URL의 최종 목적지를 추적하되, URL에 개인정보 입력을 유도하는 웹페이지가 포함되어 있는지 확인할 수 있다.For example, for phishing inspection, the social engineering attack threat inspection unit 135 tracks the final destination of the URL within the URL when an email user accesses the phishing site and enters the ID and password, and You can check whether a web page that encourages information entry is included.
이와 같이 상기 사회공학적 공격 위협 검사 프로세스를 통해 검사정보는 최종적으로 합산('3')되어 사회공학적 공격 위협 검사정보로 저장 및 관리될 수 있다. 이렇게 합산된 사회공학적 공격 위협 검사정보는, 보안 위협 정보 동기화 처리부(140)로 전달되어, 보안 위협 정보 동기화 데이터의 갱신 저장 및 관리에 이용될 수 있고, 수신 메일 처리부(150) 및 발신 메일 처리부(160)로 전달되어, 보안위협 판별정보로 활용될 수 있다.In this way, through the social engineering attack threat inspection process, the inspection information can be finally summed ('3') and stored and managed as social engineering attack threat inspection information. The combined social engineering attack threat inspection information is transmitted to the security threat information synchronization processing unit 140 and can be used to update, store, and manage the security threat information synchronization data, and the incoming mail processing unit 150 and the outgoing mail processing unit ( 160) and can be used as security threat identification information.
한편, 표적형 이메일 보안 위협 검사부(130)는, 내부정보 유출 보안 위협에 대응할 수 있도록 정보 유출 검사부(137)를 포함할 수 있다. 여기서, 정보 유출 검사부는, 보안 위협 정보 동기화 데이터 및 메일정보의 속성정보를 활용하여, 발신 메일의 정보 유출 여부를 검사하고, 검사 정보를 발신 메일 처리부(160)로 전달하여, 발신을 차단하거나, 발신 메일의 메일서버(300)를 통한 전송 승인이 거절되도록 처리될 수 있다.Meanwhile, the targeted email security threat inspection unit 130 may include an information leak inspection unit 137 to respond to internal information leakage security threats. Here, the information leak inspection unit uses the security threat information synchronization data and attribute information of mail information to check whether information is leaked in the outgoing mail, and transmits the inspection information to the outgoing mail processing unit 160 to block the sending, or Approval for transmission of outgoing mail through the mail server 300 may be processed to be rejected.
정보 유출 검사부(137)는, 특히 사용자에 의한 발신에 의해 발생되는 표적형 이메일 공격 보안 위협으로서의 정보 유출을 검사할 수 있다.The information leakage inspection unit 137 can inspect information leakage, especially as a security threat of targeted email attacks caused by transmission by users.
먼저, 정보 유출 검사부(137)는, 고의적(의도적) 정보 유출을 탐지할 수 있다. 정보 유출 검사부(137)는, 발신 메일에 대응하여 보안 관리자가 설정한 고의적(의도적) 정보 유출에 대응하는 특정 유출 조건이 일치하는 경우, 발신 메일 처리부(160)로 검사 정보를 전달하여, 메일 발송의 보류 또는 차단 처리를 수행하게 할 수 있다. 또한, 발신 메일 처리부(160)는, 특정 유출 조건에 해당하는 경우, 발신자가 발신 이메일에 대한 전송 지연 시간을 설정하게 하는 알림 메시지와 경고 알림 메시지 등을 사용자단말(200)로 전송 처리할 수 있다.First, the information leakage inspection unit 137 can detect intentional (intentional) information leakage. If the information leak inspection unit 137 matches the specific leak conditions corresponding to intentional (intentional) information leakage set by the security manager in response to the outgoing mail, it transmits the inspection information to the outgoing mail processing unit 160 and sends the mail. You can perform pending or blocking processing. In addition, the outgoing mail processing unit 160 may transmit, to the user terminal 200, a notification message that allows the sender to set a transmission delay time for the outgoing email, a warning notification message, etc., if a specific leakage condition is met. .
그리고, 정보 유출 검사부(137)는, 비고의적(의도하지 않은) 정보 유출을 탐지하고, 탐지 정보를 발신 메일 처리부(160)로 전달하여, 비고의적 정보 유출을 차단하거나, 경고하거나, 지연시킬 수 있다.In addition, the information leakage inspection unit 137 detects unintentional (unintentional) information leakage and delivers the detection information to the outgoing mail processing unit 160 to block, warn, or delay unintentional information leakage. there is.
정보 유출 검사부(137)는, 보안 위협 동기화 데이터로부터 획득되는 악성 계정 데이터에서, 유사 이메일 주소로 분류된 이메일 주소로 사용자가 회신 또는 발신하는 경우를 탐지하여, 비고의적 정보 유출 정보를 구성하고, 발신 메일 처리부(160)로 전달할 수 있다. 발신 메일 처리부(160)는, 비고의적 정보 유출 정보에 따라, 발신 메일에 대한 경고를 제공하거나, 자동 차단하거나, 지연 처리할 수 있다.The information leakage inspection unit 137 detects cases where a user replies or sends an email address classified as a similar email address in malicious account data obtained from security threat synchronization data, configures unintentional information leakage information, and sends a message. It can be delivered to the mail processing unit 160. The outgoing mail processing unit 160 may provide a warning, automatically block, or delay outgoing mail, depending on unintentional information leakage information.
또한, 정보 유출 검사부(137)는, 내부망과 외부망이 격리된 보안망에서, 대용량 첨부파일을 외부망으로 안전하게 전송하기 위해, 이메일의 대용량 첨부파일을 일반 첨부파일로 변환하여 망 연계 시스템을 통과시키는 경우, 상기 대용량 첨부파일에 대응하는 비고의적 또는 고의적 정보 유출 탐지를 위한 보안 리스크를 검사할 수 있다. 이는 사전 설정된 이메일 전송 정책에 따라, 대용량 첨부파일이 망 연계 시스템의 승인을 통과할 수 있도록 일반 첨부파일로 변환된 경우를 의미하는 것으로, 이 경우 일반 첨부파일로 변환 삽입된 대용량 첨부파일에 대한 악성코드 검사, 바이러스 검사 및 내부 정보 유출 리스크 검사를 포함할 수 있다. 여기서 내부 정보 유출 리스크 검사는, 사전 설정된 보안 정책 데이터에 따라, 특정 보안 키워드 또는 특정 보안 문구 등이 포함되어 있는지 여부와 빈도 수 등을 체크하는 내부 정보의 유출 리스크 검사를 포함할 수 있다.In addition, the information leak inspection unit 137 converts large email attachments into general attachments to safely transmit large attachments to the external network in a security network where the internal and external networks are isolated, thereby establishing a network connection system. If passed, security risks can be checked to detect unintentional or intentional information leakage corresponding to the large attachment file. This means that, according to a preset email transmission policy, a large attachment file has been converted into a regular attachment file so that it can pass the approval of the network connection system. In this case, a malicious file has been converted to a regular attachment file and inserted into the large attachment file. This may include code scanning, virus scanning, and internal information leakage risk scanning. Here, the internal information leakage risk test may include an internal information leakage risk test that checks whether and how often specific security keywords or specific security phrases are included, according to preset security policy data.
그리고, 정보 유출 검사부(137)는, 내부망과 외부망이 격리된 보안망에서, 외부망으로부터 내부망으로 변환 전달된 대용량 첨부파일을 복원한 경우,악성코드 검사, 바이러스 검사 및 내부 정보 유출 리스크 검사를 수행할 수 있다. 특히, 대용량 첨부 파일의 암호화된 외부 네트워크 경로 정보가 URL 정보로 첨부되거나, 대용량 첨부파일의 암호화된 외부 네트워크 경로 정보에 접근할 수 있는 웹페이지 파일이 일반 첨부파일로 첨부된 경우에 해당할 수 있다.In addition, the information leakage inspection unit 137 performs malware inspection, virus inspection, and internal information leakage risk when restoring a large attachment file converted and transferred from the external network to the internal network in a security network where the internal and external networks are isolated. Inspection can be performed. In particular, this may apply when the encrypted external network path information of a large attachment is attached as URL information, or a web page file that can access the encrypted external network path information of a large attachment is attached as a general attachment. .
또한, 정보 유출 검사부(137)는, 메일을 확인한 IP 주소, 메일을 열어본 횟수 등이 일정 조건을 만족하는 경우, 해당 발신 메일의 내용 암호화를 수행하게 할 수 있으며, 발신 완료된 메일의 회수는 개별 사용자가 접근할 수 없도록 처리되는 것이 바람직하다.In addition, the information leak detection unit 137 can encrypt the contents of the sent mail when the IP address that confirmed the mail, the number of times the mail was opened, etc. satisfy certain conditions, and the number of mails that have been sent can be individually determined. It is desirable that it be processed so that users cannot access it.
한편, 수신 메일 처리부(150) 및 발신 메일 처리부(160)는, 상기 메일보안 검사정보 및 상기 메일정보 분석을 통해 획득되는 표적형 이메일 보안위협 판별정보에 따라 메일 상태를 처리할 수 있다. Meanwhile, the incoming mail processing unit 150 and the outgoing mail processing unit 160 may process mail status according to the mail security check information and targeted email security threat determination information obtained through analysis of the mail information.
상기 수신 메일 처리부(150) 및 발신 메일 처리부(160)는, 상기 표적형 이메일 보안위협 판별정보가 비정상 메일로 판별되는 경우, 후속 메일보안 프로세스의 중단여부를 판단하여 메일 상태를 처리할 수 있다. 이를 통해, 상기 수신 메일 처리부(150) 및 발신 메일 처리부(160)는, 우선순위에 따라 먼저 검사 단계에서 문제점이 발견된 경우, 그 단계에서 필요한 처리만을 수행하고 검사종료여부를 판단하여 후속 검사단계는 수행하지 않고 종료할 수 있다. 이를 통해, 메일 보안 서비스의 효율성을 확보하여 시스템의 복잡성을 낮추고 처리효율을 향상시킬 수 있다.If the targeted email security threat determination information is determined to be an abnormal email, the incoming mail processing unit 150 and the outgoing mail processing unit 160 may determine whether the subsequent mail security process is stopped and process the mail status. Through this, the incoming mail processing unit 150 and the outgoing mail processing unit 160, if a problem is discovered in the inspection step first according to priority, performs only the necessary processing at that step and determines whether the inspection is completed to perform the subsequent inspection step. can be terminated without execution. Through this, the efficiency of mail security services can be secured, reducing system complexity and improving processing efficiency.
상기 메일보안 검사정보는 상기 표적형 이메일 보안 위협 검사부(130)에서 산출된 스팸메일 공격 위협 검사정보와 악성코드 공격 위협 검사정보, 사회공학적 공격 위협 검사정보 및 정보 유출 검사정보를 종합하여 획득된 정보를 활용할 수 있다. 예를 들어, 상기 표적형 이메일 보안 위협 검사부(130)가 메일정보에 대한 검사 프로세스 수행을 통해, 상기 스팸메일 검사정보로 산출된 스코어가 '3', 악성코드 공격 위협 검사정보로 산출된 스코어가 '2', 사회공학적 공격 위협 검사정보 '1', 정부 유출 공격 위협 검사정보로 산출된 스코어가 '0' 인 경우, 표적형 이메일 공격 위협 검사정보로 합산되는 스코어는 '7'로 획득될 수 있다. 이 때, 사전 설정된 보안위협 판별정보의 기준으로 종합 스코어가 0-3의 범위일 시 정상메일, 4-6의 범위일 시 그레이메일, 7-12의 범위일 시 비정상메일로 분류될 수 있다. 이에 따라, 상기 메일보안 검사정보가 '7'인 메일은 비정상메일로 판별될 수 있다. 그리고 상기 메일정보 검사정보에 포함되는 각각의 검사정보 항목의 결과값은 항목에 따라 절대적인 우선순위가 지정되거나 가중치에 따른 정보로 우선순위가 정해질 수 있다.The mail security inspection information is information obtained by combining spam mail attack threat inspection information, malware attack threat inspection information, social engineering attack threat inspection information, and information leakage inspection information calculated by the targeted email security threat inspection unit 130. You can use . For example, the targeted email security threat inspection unit 130 performs a inspection process on mail information, and the score calculated with the spam mail inspection information is '3' and the score calculated with the malicious code attack threat inspection information is '3'. If the score calculated from '2', social engineering attack threat inspection information '1', and government leaked attack threat inspection information is '0', the score combined with targeted email attack threat inspection information can be obtained as '7'. there is. At this time, based on preset security threat identification information, if the overall score is in the range of 0-3, it can be classified as normal mail, if it is in the range of 4-6, it can be classified as gray mail, and if it is in the range of 7-12, it can be classified as abnormal mail. Accordingly, an email with the mail security check information of '7' may be determined to be an abnormal email. In addition, the result value of each inspection information item included in the mail information inspection information may be assigned an absolute priority depending on the item or may be prioritized according to weight.
그리고, 도 4에 도시된 바와 같이, 수신 메일 처리부(150)는, 상기 보안위협 판별정보에 따라 정상메일로 판별된 메일에 대하여, 상기 사용자단말이 처리 가능한 수신 또는 발신 상태로 처리하는 메일분배 처리부(151)를 포함할 수 있다.And, as shown in FIG. 4, the reception mail processing unit 150 is a mail distribution processing unit that processes mail determined as normal mail according to the security threat determination information into a reception or sending state that can be processed by the user terminal. It may include (151).
또한 상기 수신 메일 처리부(150)는 상기 보안위협 판별정보에 따라 비정상메일로 판별된 메일에 대하여, 상기 사용자단말의 접근이 불가능한 상태로 처리하는 메일폐기 처리부(152)를 더 포함할 수 있다. In addition, the received mail processing unit 150 may further include a mail discard processing unit 152 that processes mail determined as abnormal mail according to the security threat determination information in a state in which the user terminal cannot access the mail.
추가적으로 상기 수신 메일 처리부(150)는 상기 보안위협 판별정보에 따라 그레이메일로 판별된 메일에 대하여, 상기 그레이메일을 비실행파일 콘텐츠로 변환 처리하고 상기 사용자단말이 메일 상태를 선택적으로 처리할 수 있도록 제공하는 메일 무해화 처리부(153)를 더 포함할 수 있다. Additionally, the received mail processing unit 150 converts the gray mail into non-executable file content for mail determined to be gray mail according to the security threat determination information and allows the user terminal to selectively process the mail status. It may further include a mail detoxification processing unit 153 provided.
일반적으로 상기 그레이메일은 스팸메일 또는 정크메일로 구분될 수도 있고 반대로 정상메일로 구분될 수 있다. 본 발명에서는 상기 그레이메일은 보안위협 판별정보가 정상 또는 비정상으로 확정할 수 없는 일정 범위 내에서의 중간 값으로 산출되었을 경우 구분되는 메일 유형으로 정의할 수 있다. 상기 메일 무해화 처리부(153)는 의심되는 내용 본문 등을 포함한 그레이메일을 이미지 파일로 변환하고 사용자단말(200)이 확인 가능한 메일 상태로 제공할 수 있다. 또한 상기 메일 무해화 처리부(153)는 첨부파일 내 악성코드로 의심되는 부문을 제거 또는 수정하여 사용자단말(200)로 제공할 수 있다.In general, the gray mail can be classified as spam mail or junk mail, or conversely, it can be classified as normal mail. In the present invention, the gray mail can be defined as a type of mail that is distinguished when the security threat determination information is calculated as an intermediate value within a certain range that cannot be determined as normal or abnormal. The mail detoxification processing unit 153 can convert gray mail containing the body of suspicious content into an image file and provide the mail in a state that can be checked by the user terminal 200. Additionally, the mail detoxification processing unit 153 can remove or modify sections suspected of being malicious code in the attached file and provide the file to the user terminal 200.
나아가, 이러한 메일 분배 처리부(151), 메일 폐기 처리부(152) 및 메일 무해화 처리부(153)는 발신 메일 처리부(160)에서 처리되는 발신 메일에 대하여도 동일한 프로세스를 수행할 수 있다.Furthermore, the mail distribution processing unit 151, mail discard processing unit 152, and mail detoxification processing unit 153 can perform the same process on outgoing mail processed in the outgoing mail processing unit 160.
한편, 발신 메일 처리부(160)는, 발신 메일 승인 시스템 연동부(161) 및 발신 메일 필터링 처리부(161)를 포함한다.Meanwhile, the outgoing mail processing unit 160 includes an outgoing mail approval system linking unit 161 and an outgoing mail filtering processing unit 161.
발신 메일 승인 시스템 연동부(161)는, 발신 메일의 메일 정보로부터 정보 유출 등의 표적형 이메일 공격 보안위협이 판별될 경우, 메일서버(300)와 연결된 메일 승인 시스템으로 메일 승인을 거절하도록 하는 요청 메시지를 전송하거나, 경고 알림을 처리할 수 있다.The outgoing mail approval system linkage unit 161 requests the mail approval system connected to the mail server 300 to reject mail approval when a security threat such as a targeted email attack such as information leakage is determined from the mail information of the outgoing mail. You can send messages or process warning notifications.
여기서, 발신 메일 승인 시스템 연동부(161)는, 메일 승인 시스템을 통해 보안 관리자가 승인 요청을 승인하거나, 거부 및 보류하는 경우, 각 처리 상태 정보를 사용자에게 알리는 이메일을 전송하도록 구성될 수 있다.Here, the outgoing mail approval system linkage unit 161 may be configured to transmit an email notifying the user of each processing status information when the security manager approves, rejects, or suspends the approval request through the mail approval system.
예를 들어, 메일 승인 시스템에서는, 관리자가 설정한 특정 키워드와 첨부파일 형식이 포함된 경우, 조직도에 따라 승인을 결정할 수 있다. 이 경우, 발신 메일 승인 시스템 연동부(161)는, 제목, 첨부파일, 파일 확장자 중 승인이 필요한 특정 키워드가 검출되었을 때, 관리자가 이메일 전송을 허용 또는 거부하는지를 포함하는 처리 상태 정보를 이메일로 구성하여, 발신자 계정으로 발송할 수 있다.For example, in an email approval system, if a specific keyword and attachment file type set by the administrator are included, approval can be determined according to the organization chart. In this case, the outgoing mail approval system linkage unit 161 configures processing status information, including whether the administrator allows or rejects email transmission, into an email when a specific keyword requiring approval among the title, attachment, or file extension is detected. So, it can be sent to the sender’s account.
나아가, 발신 메일 승인 시스템 연동부(161)는, 메일 승인 시스템으로의 이메일 전송 제한을 통해 한 번에 보낼 수 있는 최대 이메일 수에 대한 제한을 설정할 수도 있다. 발신 메일 승인 시스템 연동부(161)는, 하루에 보낼 수 있는 사용자 수와 이메일당 받는 사람 수를 제한하여 이메일 서버의 상태와 계정 보안을 유지할 수 있다.Furthermore, the outgoing mail approval system linkage unit 161 may set a limit on the maximum number of emails that can be sent at once by limiting email transmission to the mail approval system. The outgoing mail approval system linkage unit 161 can maintain the status of the email server and account security by limiting the number of users who can send emails per day and the number of recipients per email.
그리고, 발신 메일 필터링 처리부(161)는, 발신 메일의 메일 정보로부터 악성 코드 등의 표적형 이메일 공격 보안위협이 판별될 경우, 발신 메일을 폐기하거나, 무해화 처리하는 등의 필터링 처리를 수행할 수 있다.In addition, the outgoing mail filtering processing unit 161 may perform filtering processing such as discarding or rendering harmless the outgoing mail when a security threat of a targeted email attack such as malicious code is determined from the mail information of the outgoing mail. there is.
예를 들어, 발신 메일 처리부(160)는, 발신 요청된 발신 메일의 표적형 이메일 보안 위협이 판별된 경우, 이메일 수신자에게 실제 이메일을 보내는 대신 무해화 필터링된 이메일을 미리 볼 수 있는 링크가 포함된 보안 이메일을 전송 처리할 수 있다.For example, when the outgoing mail processing unit 160 determines that the outgoing mail requested to be sent is a targeted email security threat, the outgoing mail processing unit 160 includes a link to preview the harmless and filtered email instead of sending the actual email to the email recipient. Secure email can be sent.
또한, 발신 메일 처리부(160)는, 사용자의 메일 발송 이후에도, 발신 메일에 대한 표적형 이메일 공격 보안위협에 대응하는 사후 관리 서비스를 처리할 수 있다. 사후 관리 서비스는, 관리자 등의 특수 계정에서 처리할 수 있도록 제한되며, 발신 메일 처리부(160)는, 사후 관리 서비스를 통해, 이메일 보안을 위한 수신자의 접근 및 조회 확인, 수신자의 보안 이메일 액세스 IP 확인, 수신자의 보안 이메일 액세스 날짜 및 시간 확인, 보안 이메일에 대한 수신자의 액세스 제어(허용/차단) 처리를 수행할 수 있다.In addition, the outgoing mail processing unit 160 can process a follow-up management service that responds to security threats of targeted email attacks on outgoing mail even after the user sends the mail. The post-management service is limited to processing by a special account such as an administrator, and the outgoing mail processing unit 160 verifies the recipient's access and inquiry for email security and verifies the recipient's secure email access IP through the post-management service. , you can check the recipient's secure email access date and time, and process the recipient's access control (allow/block) to the secure email.
또한, 발신 메일 처리부(160)는, 보안 위협 동기화 데이터로부터 획득되는 악성 계정 정보의 로그 모니터링 및 알림을 수행할 수 있는 바, 모니터링되는 로그는 아이디, 위치(국가), IP 주소, 날짜, 상태(성공 또는 실패)와 같은 상세한 로그 정보를 포함할 수 있다.In addition, the outgoing mail processing unit 160 can perform log monitoring and notification of malicious account information obtained from security threat synchronization data, and the monitored log includes ID, location (country), IP address, date, status ( may include detailed log information such as success or failure).
발신 메일 처리부(160)는, 사용자 계정에 대한 악성 로그인 시도를 파악하여 사용자 단말로 알림을 제공하고, 해당 알림을 메일 또는 대시보드 인터페이스상에 디스플레이하는 방식으로, 이메일 서버 내의 악성 계정 모니터링 결과를 리포팅할 수 있다.The outgoing mail processing unit 160 reports the results of monitoring malicious accounts within the email server by identifying malicious login attempts to the user account, providing a notification to the user terminal, and displaying the notification on the email or dashboard interface. can do.
한편, 발신 메일 처리부(160)는, 메일의 의도적 정보 유출을 방지하기 위해, 이메일 암호화를 처리할 수 있다. 이메일 암호화는 이메일 및 첨부 파일의 내용을 암호화하거나 위장하여 민감한 정보를 의도한 수신자 이외의 사람이 읽지 못하도록 보호한다.Meanwhile, the outgoing mail processing unit 160 may process email encryption to prevent intentional information leakage of emails. Email encryption encrypts or disguises the contents of emails and attachments to protect sensitive information from being read by anyone other than the intended recipient.
또한, 발신 메일 처리부(160)는, 고의 또는 비고의적 정보 유출을 차단하기 위해, 발신지연 및 발신메일 조회와, 삭제 기능을 제공할 수 있다. 사용자의 고의 또는 비고의적 정보유출을 방지하기 위하여, 발신 메일 처리부(160)는, 메일 발송시간(Sending time)과 전달되는 시간(delivered time) 사이에 지연시간을 설정할 수 있으며, 지연 시간 이내에 메일 발송은 취소 처리될 수 있다. 지연 시간 내 이메일 취소 권한은 관리자와 사용자에게 부여될 수 있으며, 일단 취소된 발신 이메일은 발송할 수 없게되고, 이메일을 다시 작성해야 한다.Additionally, the outgoing mail processing unit 160 may provide outgoing delay, outgoing mail inquiry, and deletion functions to prevent intentional or unintentional information leakage. In order to prevent intentional or unintentional leakage of information by users, the outgoing mail processing unit 160 can set a delay time between the sending time and the delivered time, and can set a delay time between the mail sending time and the delivered time. Shipment may be cancelled. The right to cancel emails within the delay time can be granted to administrators and users. Once a canceled outgoing email cannot be sent, the email must be rewritten.
그리고, 발신 메일 처리부(160)는, 계정 탈취 공격을 사전 차단하기 위해, 계정에 대응하는 사용 국가 및 IP 제한을 수행할 수 있다. 이러한 제한 설정을 위해, 발신 메일 처리부(160)는, 보안 관리자 및 이메일 사용자가 '보안 IP 등록' 또는 '허용 국가 등록'으로 접근 가능한 특정 IP 주소 및 국가를 등록할 수 있도록 기능을 제공한다. 이에 따라, 사용자는 허용된 IP 주소 및 국가에서만 이메일을 발신할 수 있다.Additionally, the outgoing mail processing unit 160 may restrict the country of use and IP address corresponding to the account in order to prevent account takeover attacks in advance. To set these restrictions, the outgoing mail processing unit 160 provides a function that allows security managers and email users to register specific accessible IP addresses and countries through 'secure IP registration' or 'allowed country registration'. Accordingly, users can only send emails from permitted IP addresses and countries.
또한, 발신 메일 처리부(160)는, 이메일 서버 IP 접근 제어를 통해, 승인되지 않은 메일 발신을 위한 이메일 서버 접근을 미리 차단할 수 있다.Additionally, the outgoing mail processing unit 160 may block access to the email server in advance for sending unauthorized mail through email server IP access control.
예를 들어, 관리자는 웹 메일 또는 메일 클라이언트에 대한 접근을 제한하여, 전송 메일 내 이메일 링크 허용 여부 등을 제어할 수 있다. 예를 들어, 발신 메일 처리부(160)는, 등록된 IP를 이용하여, 웹메일 접속 발신을 차단할 수 있으며, POP3(클라이언트 서버 프로토콜)/SMTP(메일 전송 프로토콜) 기반의 통신 접근을 제어하여 메일 클라이언트 통신 기반 발신을 차단할 수도 있다.For example, administrators can restrict access to webmail or mail clients, controlling whether email links are allowed in sent emails. For example, the outgoing mail processing unit 160 can block outgoing webmail connections using a registered IP, and controls communication access based on POP3 (client server protocol)/SMTP (mail transfer protocol) to enable mail client Communication-based outgoings can also be blocked.
또한, 발신 메일 처리부(160)는, 등록된 IP 주소 및 국가에서 이메일을 보내는 경우, IP 주소, 날짜 등 이메일 서버 접근 제한 로그를 구성하여 저장 및 관리할 수 있다. 그리고, 이러한 이메일 서버 접근 제한 로그는 다음 접속시의 사용자 발신 허용 여부 확인에 이용될 수 있다. 발신 메일 처리부(160)는, 사용자 발신 허용 여부 확인을 위해, 사용자 식별 정보, 암호화된 이메일 정보, 사용자 암호 정보, 장치 식별 정보, 엑세스 IP 정보, 엑세스 시간 정보, 엑세스 위치 정보 및 이메일 엔진에 대한 통신 프로토콜 식별 정보를 포함하는 이메일 서버 접근 제한 로그를 확인할 수 있다.In addition, the outgoing mail processing unit 160 may configure, store, and manage an email server access restriction log, such as IP address and date, when sending email from a registered IP address and country. Additionally, this email server access restriction log can be used to check whether the user is allowed to send messages during the next connection. The outgoing mail processing unit 160 uses user identification information, encrypted email information, user password information, device identification information, access IP information, access time information, access location information, and communication to the email engine to check whether the user is allowed to send mail. You can check the email server access restriction log containing protocol identification information.
한편, 다시 도 2를 참조하면, 레코드 관리부(170)는 상기 표적형 이메일 공격 보안위협 판별정보에 따라 처리된 상기 메일정보를 레코드정보로 저장하고 관리할 수 있다. 상기 레코드 관리부(170)는 상기 표적형 이메일 공격 보안위협 판별정보에 따라 정상메일로 처리되는 경우, 수신 메일 도메인, 발신 메일 도메인, 수신 메일 주소, 발신 메일 주소, 메일 라우팅, 메일 내용 본문 정보 등을 포함하는 상기 레코드정보를 신뢰인증 정보로 저장 및 관리하며, 비정상메일로 처리되는 경우 상기 레코드정보를 보안 위협 정보 동기화 처리부(140)로 전달하여, 보안 위협 정보 동기화 데이터를 갱신하게 할 수 있다.Meanwhile, referring again to FIG. 2, the record management unit 170 may store and manage the mail information processed according to the targeted email attack security threat determination information as record information. When a normal email is processed according to the targeted email attack security threat determination information, the record management unit 170 records the incoming email domain, outgoing email domain, incoming email address, outgoing email address, email routing, and email content body information. The record information contained therein is stored and managed as trust authentication information, and if it is processed as an abnormal email, the record information can be transmitted to the security threat information synchronization processing unit 140 to update the security threat information synchronization data.
또한, 레코드 관리부(170)는, 학습 데이터 처리부(171)를 포함하여, 상기 정상메일 및 상기 비정상 메일 정보의 학습에 기초한 표적형 이메일 공격 차단을 위한 보안 위협 정보 학습 모델을 구축할 수 있도록 하며, 보안 위협 정보 학습 모델는, 보안 위협 정보 동기화 처리부(140)로 전달되어, 보안 위협 정보 동기화 데이터에 포함될 수 있다.In addition, the record management unit 170 includes a learning data processing unit 171 to build a security threat information learning model for blocking targeted email attacks based on learning of the normal email and abnormal email information, The security threat information learning model may be transmitted to the security threat information synchronization processing unit 140 and included in the security threat information synchronization data.
한편, 진단 리포팅부(180)는, 표적형 이메일 보안 위협 검사부(130)의 처리 결과 정보를 수집하고, 처리 결과 정보로부터 이메일 보안 진단 서비스 정보를 구성하여 사용자단말(200)로의 이메일 보안 진단 서비스로 제공할 수 있다.Meanwhile, the diagnostic reporting unit 180 collects processing result information of the targeted email security threat inspection unit 130, configures email security diagnosis service information from the processing result information, and provides an email security diagnosis service to the user terminal 200. can be provided.
보다 구체적으로, 진단 리포팅부(180)는, 표적형 이메일 보안 위협 검사부(130)에서 처리된 메일보안 프로세스의 단계별 매칭 결과 정보를 수집할 수 있으며, 수집된 매칭 결과 정보에 대응하는, 하나 이상의 정량 분류 조건을 적용하기 위한 위협 레벨 비율 요소를 결정할 수 있다.More specifically, the diagnostic reporting unit 180 can collect step-by-step matching result information of the mail security process processed by the targeted email security threat inspection unit 130, and one or more quantitative information corresponding to the collected matching result information. The threat level ratio factor for applying classification conditions can be determined.
그리고, 진단 리포팅부(180)는, 매칭 결과로부터 위협 레벨 비율 요소에 대응하는 정량 분석 정보를 산출할 수 있으며, 정량 분석 정보에 기초하여, 진단 대상인 메일 시스템과, 각 메일별 위협 레벨 단계 분류별 스코어를 결정할 수 있다.In addition, the diagnostic reporting unit 180 can calculate quantitative analysis information corresponding to the threat level ratio element from the matching result, and based on the quantitative analysis information, the mail system to be diagnosed and the score for each threat level stage classification for each mail. can be decided.
이에 따라, 진단 리포팅부(180)는, 위협 레벨 단계 분류별 스코어에 기초한 이메일 보안 진단 분석 리포팅을 구성할 수 있으며, 구성된 이메일 보안 진단 분석 리포팅 정보는 사용자단말(200)로 제공될 수 있다.Accordingly, the diagnostic reporting unit 180 can configure email security diagnostic analysis reporting based on scores for each threat level classification, and the configured email security diagnostic analysis reporting information can be provided to the user terminal 200.
전술한 바와 같이, 상기 표적형 이메일 보안 위협 검사부(130)는, 스팸메일 보안위협, 악성코드 보안위협, 사회공학적 보안위협, 내부정보 유출 보안위협 등으로 구분하여 처리할 수 있으며, 상기 보안위협 아키텍처에 의해 보안위협 유형/레벨/프로세스/우선순위/처리순서가 설정될 수 있고, 이에 대응하는 수신 메일 처리부(150) 및 발신 메일 처리부(160)의 처리 프로세스가 수행될 수 있는 바, 각각의 매칭 처리 결과를 다양한 정량 분류 조건에 대응시켜, 각 위협 레벨 비율 요소의 매칭 건수가 산출될 수 있다. 이러한 정량 분류 조건은 위협 레벨 요소 분류 기준이라고도 할 수 있다.As described above, the targeted email security threat inspection unit 130 can classify and process spam email security threats, malicious code security threats, social engineering security threats, and internal information leakage security threats, and the security threat architecture. The security threat type/level/process/priority/processing order can be set, and the corresponding processing process of the incoming mail processing unit 150 and the outgoing mail processing unit 160 can be performed, and each matching By matching the processing results to various quantitative classification conditions, the number of matches for each threat level ratio element can be calculated. These quantitative classification conditions can also be called threat level element classification criteria.
또한, 진단 리포팅부(180)는 각 위협 레벨 비율 요소의 정량 분석 정보를 사전 설정된 위협 레벨 단계 분류별 스코어 산출식에 적용함으로써, 진단 대상 이메일 시스템의 종합적 보안 위협 정도를 확인하고, 이에 대응하는 사용자의 대응 가이드를 제공할 수 있는 진단 분석 리포팅 정보가 구성될 수 있다.In addition, the diagnostic reporting unit 180 applies the quantitative analysis information of each threat level ratio element to the score calculation formula for each preset threat level classification, to confirm the degree of comprehensive security threat of the email system to be diagnosed, and to determine the level of the user's response to it. Diagnostic analysis reporting information that can provide response guidance may be configured.
이에 따라, 사용자단말(200)에서는 상기 진단 분석 리포팅 정보를 제공받아, 보안위협 아키텍처 기반의 이메일 보안위협 상태를, 정량적인 실제 데이터를 기반으로 정확히 확인할 수 있으며, 이에 대응하는 가이드를 제공받아 조치함으로써 표적형 이메일 공격 등의 보다 다양해지는 보안위협들을 사전에 차단할 수 있게 된다.Accordingly, the user terminal 200 can receive the diagnostic analysis reporting information, accurately check the status of email security threats based on security threat architecture based on quantitative actual data, and take action by receiving corresponding guides. It is possible to block increasingly diverse security threats, such as targeted email attacks, in advance.
또한, 진단 리포팅부(180)는, 진단 분석 리포팅 정보에 기초하여, 경고 메시지를 사용자단말(200)로 제공할 수 있다. 경고 메시지는 사용자에게 메일함의 이메일 제목과 함께 '스팸', '유사 도메인', '위조 헤더'와 같은 용어로 표적 이메일 공격의 위험을 표시하여 어떤 종류의 이메일인지 식별할 수 있도록 한다. 또한, 보안 관리자는 의심스러운 이메일이 사용자에게 전달되거나 전달되지 않도록 구성할 수도 있고, 경고 메시지의 단어/구문도 그룹별로 설정하여 관리할 수 있다.Additionally, the diagnostic reporting unit 180 may provide a warning message to the user terminal 200 based on diagnostic analysis reporting information. The warning message alerts users to the risk of targeted email attacks using terms such as 'spam', 'similar domain', and 'forged headers' along with the subject of the email in their mailbox, allowing them to identify what type of email it is. Additionally, security administrators can configure suspicious emails to be delivered or not delivered to users, and can also manage warning message words/phrases by group.
한편, 진단 리포팅부(180)는, 사전 이메일 보안 리포팅 정보를 구성하여, 사용자단말(200)로 제공할 수 있다. 사전 이메일 보안 리포팅 정보는, 사용자가 이메일을 열기 전에 알림으로서 제공될 수 있으며, 수신된 이메일의 위험성을 제공할 수 있다. Meanwhile, the diagnostic reporting unit 180 can configure preliminary email security reporting information and provide it to the user terminal 200. Pre-email security reporting information can be provided as a notification before the user opens the email and can provide information about the risk of the received email.
이러한 사전 이메일 보안 리포팅 정보는, 최소한 다음 정보에 대응하여 각각 표시되거나 종합적 위협 레벨로서 표시될 수 있다.This proactive email security reporting information may be displayed individually or as an aggregate threat level in response to at least the following information:
- 수신내역 보고: 유사도메인 확인을 위해 이전에 이메일 주소로 수신한 이력- Receiving history report: Previous receipt history to email address to check similar domains
- 전달경로 보고: 현재 전달 경로 및 이메일 전송의 전달 경로 변경 이력- Delivery route report: Current delivery route and delivery route change history for email transmission
- 헤더 위변조 보고: 발신자 헤더 위변조 현황- Header forgery report: Status of sender header forgery and forgery
- URL 검사 보고: 탐지된 악성 URL 수- URL inspection report: number of malicious URLs detected
- 유사 도메인: 유사 도메인의 위험 수준(예: TLD, 낮음, 보통, 높음 및 위험)- Similar domains: The risk level of similar domains (e.g. TLD, low, medium, high, and risky)
그리고, 진단 리포팅부(180)는, 사후 이메일 보안 리포팅 정보를 구성하여, 사용자단말(200)로 제공할 수 있다. 사후 이메일 보안 리포팅 정보는, 보안 관리자 또는 사용자가 이메일 보안 상태를 인식할 수 있도록 하는 세부 요약 보고서로서, 다음을 포함하여 위험 메일의 현재 상태에 대한 정보와 같은 조사 분석 정보가 포함될 수 있다.In addition, the diagnostic reporting unit 180 can configure post-email security reporting information and provide it to the user terminal 200. Reactive email security reporting information is a detailed summary report that allows security administrators or users to be aware of the state of email security and may include investigative and analytical information such as information about the current state of risky mail, including:
- 안전 위험 평가: 사기 이메일의 일일 수치, 사용자 계정당 받은 공격 수, 국가별 공격지역 현황, 현재 이메일 위험에 대한 보안 등급- Safety risk assessment: daily number of fraudulent emails, number of attacks received per user account, attack area by country, security rating for current email risks
- 안전 위험 분석: 공격 유형별 이메일 공격 현황(예: 스팸, 악성코드, 악성 URL 및 첨부 파일, 위조 헤더, 유사 도메인)- Safety risk analysis: Email attack status by attack type (e.g. spam, malware, malicious URLs and attachments, forged headers, similar domains)
- 공격 시나리오(예: 악성코드, 악성 URL, 의심스러운 발신자 주소, 위조 헤더 및 유사 도메인 등)- Attack scenarios (e.g. malware, malicious URLs, suspicious sender addresses, forged headers and similar domains, etc.)
또한, 진단 리포팅부(180)는, 상태 대시보드 인터페이스를 사용자 단말(200)로 제공할 수 있으며, 상태 대시보드 인터페이스는 운영 상태, 구성 및 운영 환경과 같은 선택된 기술 개체에 대한 운영에 영향을 미치는 수신 및 발신 이메일의 실시간 기술 상태에 대한 개요를 제공할 수 있다.In addition, the diagnostic reporting unit 180 may provide a status dashboard interface to the user terminal 200, and the status dashboard interface may provide information that affects the operation of the selected technology entity, such as operating status, configuration, and operating environment. It can provide an overview of the real-time technical status of incoming and outgoing emails.
예를 들어, 상태 대시보드 인터페이스는, 전체 표적형 이메일 공격 차단 기능의 실시간 정보 패널(예: 이메일의 총 수 및 상태, 인바운드 및 아웃바운드 이메일 실패 이유, 수신된 표적 이메일 공격 수)을 구성하여, 내부 보안 관리자가 인식 및 제어할 수 있도록 한다.For example, the status dashboard interface can be configured to display real-time information panels of the entire targeted email attack blocking feature (e.g., total number and status of emails, reasons for inbound and outbound email failures, number of targeted email attacks received), Allows internal security managers to recognize and control.
이에 따라, 진단 리포팅부(180)는, 위협 레벨 단계 분류별 스코어에 기초한 표적형 이메일 공격에 대한 이메일 보안 진단 분석 리포팅을 구성할 수 있으며, 구성된 이메일 보안 진단 분석 리포팅 정보는 사용자단말(200)로 제공될 수 있다.Accordingly, the diagnostic reporting unit 180 can configure email security diagnostic analysis reporting for targeted email attacks based on scores for each threat level classification, and the configured email security diagnostic analysis reporting information is provided to the user terminal 200. It can be.
또한, 진단 리포팅부(180)는 각 위협 레벨 비율 요소의 정량 분석 정보를 사전 설정된 위협 레벨 단계 분류별 스코어 산출식에 적용함으로써, 진단 대상 이메일 시스템 및 개별 이메일의 종합적 보안 위협 정도를 확인하고, 이에 대응하는 사용자의 대응 가이드를 제공할 수 있는 진단 분석 리포팅 정보가 구성될 수 있다.In addition, the diagnostic reporting unit 180 applies the quantitative analysis information of each threat level ratio element to the score calculation formula for each preset threat level classification, to confirm and respond to the comprehensive security threat level of the email system and individual emails subject to diagnosis. Diagnostic analysis reporting information that can provide a response guide for users may be configured.
보다 구체적으로, 개별 이메일의 종합적 보안 위협 정도를 확인하기 위한 판단 기준은 위협 레벨 요소 분류 기준에 따라 결정될 수 있다.More specifically, the judgment standard for determining the comprehensive security threat level of an individual email can be determined according to the threat level element classification criteria.
상기 위협 레벨 요소 분류 기준의 분류 조건은, 각 표적형 이메일 공격의 위험 검출 결과에 대응하여 설정될 수 있으며, 예를 들어, 악성코드 메일 검출, 악성코드 행위 검출, 바이러스 검출, 랜섬웨어 검출, 악성 URL 검출, 본문 내 URL 검출, 첨부파일 내 URL 검출, 헤더 위변조 검출, 답장시 주소 변경 검출, ID 변경 검출, 도메인 변경 검출, ID & 도메인 순서 변경 검출, 발송지 변경 검출, 유사 도메인 검출, 헤더 위변조 주의 메일 검출, 스팸 메일(광고성, 업무성) 검출, 신뢰도 주의 메일 검출 중 적어도 하나를 포함할 수 있다.The classification conditions of the threat level element classification criteria can be set in response to the risk detection results of each targeted email attack, for example, malware email detection, malware behavior detection, virus detection, ransomware detection, malicious code detection, etc. URL detection, URL detection in the text, URL detection in attached files, header forgery detection, address change detection when replying, ID change detection, domain change detection, ID & domain order change detection, destination change detection, similar domain detection, beware of header forgery It may include at least one of email detection, spam email (advertising, business) detection, and reliability warning email detection.
이러한 각 분류 조건에 해당하는 경우, 각 분류 조건에는 스코어가 할당될 수 있는 바, 각 위협 레벨 요소분류 기준의 합산, 평균 등의 연산에 따라 최종 스코어가 산출될 수 있다. 이에 따라, 진단 리포팅부(180)는, 진단 대상 메일의 위협 레벨 단계 분류별 스코어를 결정할 수 있다.If each of these classification conditions is met, a score may be assigned to each classification condition, and the final score may be calculated according to calculations such as summation and average of each threat level element classification standard. Accordingly, the diagnostic reporting unit 180 can determine the score for each threat level classification of the email to be diagnosed.
보다 구체적으로, 위협 레벨 단계 분류별로 상기 분류 조건들이 각각 할당될 수 있으며, 상기 분류 조건에 따라 검출된 정량 분석 값들이 상기 각 위협 레벨 단계 분류에 대응하여 합산 처리될 수 있으며, 합산 처리된 값에 따라 각 위협 레벨 단계 분류별 스코어가 결정될 수 있다.More specifically, the classification conditions may be assigned to each threat level classification, and the quantitative analysis values detected according to the classification conditions may be summed corresponding to each threat level classification, and the summed values may be added to the summed values. Accordingly, a score for each threat level classification may be determined.
예를 들어, 위협 레벨 단계는, 그 위험도에 따라 제1 단계, 제2 단계, 제3 단계, 제4 단계로 분류될 수 있으며, 각 단계별로 스코어가 산출되어 합산 처리될 수 있다. For example, threat levels can be classified into first, second, third, and fourth stages according to their risk, and a score for each stage can be calculated and summed.
나아가, 진단 리포팅부(180)는, 상기 각 위협 레벨 단계에 대응하는 위험도 가중치를 설정할 수 있다. 위험도 가중치는, 제1 레벨에 대응하여 10%, 제2 레벨에 대응하여 20%, 제3 레벨에 대응하여 30%, 제4 레벨에 대응하여 40%와 같이 할당될 수 있다.Furthermore, the diagnostic reporting unit 180 may set a risk weight corresponding to each threat level. The risk weight may be assigned as 10% for the first level, 20% for the second level, 30% for the third level, and 40% for the fourth level.
이에 따라, 진단 리포팅부(180)는, 각 위협 레벨 단계별 스코어에, 상기 각 위험도 가중치를 곱연산하고, 그 결과를 합산함에 따라, 진단 대상 메일의 표적형 이메일 공격 보안 위협 위험도를 산출할 수 있다.Accordingly, the diagnostic reporting unit 180 multiplies the score for each threat level by the risk weight and adds up the results, thereby calculating the risk of a targeted email attack security threat of the email to be diagnosed. .
이러한 표적형 이메일 공격 보안 위협 위험도는, 사전 설정된 등급에 따라 A, B, C, D, E와 같은 보안 등급에 매핑될 수 있고, 이러한 매핑에 따라, 진단 리포팅부(180)는, 특정 메일에 대응하는 종합적인 보안 위협 위험도를 보안 등급으로 표시하는 위협 레벨 기반 가이드 콘텐츠를 구성하여, 메일 사용자단말로 제공할 수 있다.This targeted email attack security threat risk may be mapped to security levels such as A, B, C, D, and E according to preset levels, and according to this mapping, the diagnostic reporting unit 180 may respond to a specific email. Threat level-based guide content that displays the corresponding comprehensive security threat risk as a security level can be configured and provided to email user terminals.
여기서, 진단 리포팅부(180)는, 보안 위협 정보 동기화 데이터에 기초하여, 실시간으로 갱신되는 사용자의 이메일 이력 정보와 설정 정보를 반영하여 상기 스코어를 실시간으로 변경 산출할 수 있다.Here, the diagnostic reporting unit 180 can change and calculate the score in real time by reflecting the user's email history information and settings information that are updated in real time, based on the security threat information synchronization data.
예를 들어, 사용자가 특정 발신지 국가에 대한 허용 관리 설정을 수행하는 경우, 해당 발신지로부터 수신된 메일은 위험성 판단 대상에서 제외 처리되거나, 위험도 0점으로 처리될 수 있다.For example, if a user performs permission management settings for a specific source country, mail received from that source may be excluded from risk assessment or may be given a risk rating of 0.
이러한 사용자 설정 반영은, 기업 등의 사용자가 이메일 수발신 환경에 따라 맞춤형으로 설정한 상태에서의 표적형 이메일 공격 위험성을 진단하고자 하는 것이다.This reflection of user settings is intended to diagnose the risk of targeted email attacks when users, such as companies, have customized settings according to their email receiving and sending environments.
또한, 보안 위협 정보 동기화 데이터를 통해, 기 발신된 메일 데이터의 표적형 이메일 공격 위험 검사 결과가 반영되는 바, 진단 리포팅부(180)는, 발신 메일에서 위험하다고 판단되는 발신 주소, 발신 국가 및 검출된 악성 코드 등을 이용하여, 수신 메일에 대한 각 메일 별 표적형 이메일 공격 위험 스코어 산출을 처리할 수 있다.In addition, the security threat information synchronization data reflects the results of the target-type email attack risk test of previously sent mail data, and the diagnostic reporting unit 180 detects the sending address, sending country, and detection of the sending mail that is judged to be dangerous. Using malicious code, etc., a targeted email attack risk score can be calculated for each incoming email.
또한, 이러한 표적형 이메일 공격 위험 스코어를 산출함에 있어서, 각 위협 레벨 요소 분류 기준은 카테고리에 따라 분류될 수 있으며, 분류된 카테고리별 스코어링 테이블이 사전 구축될 수 있다.Additionally, in calculating this targeted email attack risk score, each threat level element classification standard can be classified according to category, and a scoring table for each classified category can be built in advance.
예를 들어, 위협 레벨 요소 분류 기준은, 이메일 프로토콜 및 광고성 메일 카테고리를 포함할 수 있으며, 광고성 관련 차단이력 1점, 경고이력 1점, 신뢰도 차단이력 2점 등의 스코어가 지정될 수 있다.For example, the threat level element classification criteria may include email protocols and advertising mail categories, and scores such as advertising-related blocking history of 1 point, warning history of 1 point, and reliability blocking history of 2 points may be assigned.
또한, 예를 들어, 위협 레벨 요소 분류 기준은, 악성코드 카테고리를 포함할 수 있으며, URL 검출(제로데이 URL 등 사후 위험성 포함) 3점, 문서 내 악성 링크 2점, 바이러스 1점, 랜섬웨어 2점, 행위기반 검출 3점 등의 스코어가 지정될 수 있다.In addition, for example, the threat level element classification criteria may include a malware category, with 3 points for URL detection (including post-risks such as zero-day URLs), 2 points for malicious links in documents, 1 point for viruses, and 2 points for ransomware. Scores such as 1 point, 3 points for behavior-based detection, etc. can be specified.
또한, 예를 들어, 위협 레벨 요소 분류 기준은, 사회공학적 공격 관련 기초 상칭성 위험 카테고리를 포함할 수 있으며, 주소 위변조 2점, ID 위변조 1점, 도메인 위변조 1점, 기타 위변조 3점 등의 스코어가 지정될 수 있다.In addition, for example, the threat level element classification criteria may include basic symmetry risk categories related to social engineering attacks, and scores such as 2 points for address forgery, 1 point for ID forgery, 1 point for domain forgery, and 3 points for other forgery. can be specified.
또한, 예를 들어, 위협 레벨 요소 분류 기준은, 사회공학적 공격 관련 지능형 사칭성 위험 카테고리를 포함할 수 있으며, 최초 발송지 위험 1점, 최종 발송지 위험 2점, 기타 발송지 위험 3점, 유사 도메인 위험에 따른 위험 3점, 상 2점, 중 1점, 하 1점 TLD(상위도메인) 2점 등의 스코어가 지정될 수 있다.In addition, for example, the threat level element classification criteria may include an advanced impersonation risk category related to social engineering attacks, with 1 point for initial origin risk, 2 points for final origin risk, 3 points for other origin risk, and 3 points for similar domain risk. A score may be assigned, such as 3 points for risk, 2 points for high, 1 point for middle, 1 point for low, and 2 points for TLD (high level domain).
진단 리포팅부(180)는, 이러한 표적형 이메일 공격 차단을 위한 이메일 위험 스코어를 산출하여, 표적형 이메일 공격에 대한 보안 등급을 매핑하고, 매핑된 보안 등급 정보를 가이드 콘텐츠로 구성하여, 사용자 단말로 제공할 수 있다. 예를 들어, 진단 리포팅부(180)는 가이드 콘텐츠를 텍스트 또는 이미지 마커로 구성하여, 이메일 제목과 인접한 지점 또는 이메일 본문 시작지점 등에 삽입할 수 있다.The diagnostic reporting unit 180 calculates an email risk score for blocking such targeted email attacks, maps the security level for the targeted email attack, configures the mapped security level information into guide content, and sends it to the user terminal. can be provided. For example, the diagnostic reporting unit 180 may configure guide content as a text or image marker and insert it at a point adjacent to the email subject or at the start of the email body.
또한, 진단 리포팅부(180)는, 항목 별 표적형 공격 위험 스코어 총합이 제1 임계치 이상이거나, 특정 항목의 표적형 공격 위험 스코어가 제2 임계치 이상이거나, 항목 별 표적형 공격 위험 스코어 총합이 제3 임계치 이상인 기간이 일정 기간 이상 지속되거나, 항목 별 표적형 공격 위험 스코어 총합이 제3 임계치 이상인 메일 개수가 일정 기간 이내 일정 개수 이상인 경우를 판단하고, 각 조건이 판단된 경우에는, 수신 메일 처리부(150) 또는 발신 메일 처리부(160)로 경고 알림을 제공할 수 있다. 수신 메일 처리부(150) 또는 발신 메일 처리부(160)는, 경고 알림된 메일에 대응하는 관리자 알림을 처리하거나, 메일의 자동 차단 처리 등을 수행할 수 있다.In addition, the diagnostic reporting unit 180 determines whether the total targeted attack risk score for each item is greater than or equal to the first threshold, the targeted attack risk score for a specific item is greater than or equal to the second threshold, or the total targeted attack risk score for each item is greater than or equal to the first threshold. 3 It is determined that the period above the threshold continues for more than a certain period of time or the total number of emails with the total target attack risk score for each item is above the third threshold is more than a certain number within a certain period of time. If each condition is determined, the received mail processing unit ( 150) or a warning notification may be provided to the outgoing mail processing unit 160. The incoming mail processing unit 150 or the outgoing mail processing unit 160 may process an administrator notification corresponding to a warning notification mail or automatically block mail.
이에 따라, 사용자 단말(200)에서는, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기한 보안 위협 정보 동기화 데이터에 기초하여 산출된 표적형 이메일 보안위협 상태를, 각 메일 및 시스템별로 정량적인 실제 데이터를 기반으로 정확히 확인할 수 있으며, 이에 대응하는 가이드를 제공받아 조치함으로써 표적형 이메일 공격에 대한 보다 다양해지는 보안위협들을 사전에 차단할 수 있게 된다.Accordingly, the user terminal 200 provides targeted email security threat information configured according to the performance of a targeted email security threat check of incoming mail, and targeted email security threat information configured according to the performance of a targeted email security threat check of outgoing mail. You can accurately check the status of targeted email security threats calculated based on synchronized security threat information synchronization data based on quantitative actual data for each mail and system, and take action by receiving a corresponding guide to target email security. It is possible to block increasingly diverse security threats in advance.
도 5 및 도 6은 본 발명의 실시 예에 따른 시스템을 이용한 서비스 프로세스를 설명하기 위한 흐름도이다.Figures 5 and 6 are flowcharts for explaining a service process using a system according to an embodiment of the present invention.
도 5 및 도 6을 참조하면, 도 5는 먼저 수신 메일의 표적형 이메일 공격 위협 검사 처리에 관한 것으로, 서비스 제공 장치(100)는, 수신 메일 정보를 수집한다(S101).Referring to FIGS. 5 and 6 , FIG. 5 first relates to a targeted email attack threat inspection process of received mail, and the service providing device 100 collects received mail information (S101).
그리고, 서비스 제공 장치(100)는, 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하며, 표적형 이메일 보안 위협 검사는 스팸 위협 검사(S103), 멀웨어 공격 위협 검사(S105), 사회공학적 위협 검사(107)와 같은 각 단계별 멀티 레벨 검사를 수행할 수 있다.In addition, the service providing device 100 uses the security threat information synchronization data to perform a targeted email security threat check in response to newly received mail, and the targeted email security threat check includes spam threat check (S103) and malware. Multi-level inspection at each stage, such as attack threat inspection (S105) and social engineering threat inspection (107), can be performed.
여기서, 멀웨어 공격 위협 검사는 미확인 악성코드, 첨부파일 악성코드, URL 악성코드 등의 표적형 이메일 공격 위협 검사를 포함할 수 있으며, 사회공학적 위협 검사는, 헤더 위변조, 유사 도메인, 계정 탈취 및 URL 피싱 검사를 포함할 수 있다.Here, malware attack threat inspection may include targeted email attack threat inspection such as unidentified malicious code, attachment malicious code, and URL malicious code, and social engineering threat inspection includes header forgery, similar domains, account takeover, and URL phishing. May include testing.
이후, 검사 결과에 따라, 서비스 제공 장치(100)는, 사용자 진단 리포팅을 수행할 수 있으며(S109), 검사 결과에 기초하여 메일 서버로의 반출 또는 차단을 결정한다(S111).Thereafter, according to the test results, the service providing device 100 may perform user diagnostic reporting (S109) and determine export to or block mail server based on the test results (S111).
나아가, 서비스 제공 장치(100)는, 반출, 차단 또는 지연에 대응하는 경고 알림 메시지를 구성하여 관리자의 사용자 단말(200) 또는 수신자 단말(20)로 제공할 수 있다.Furthermore, the service providing device 100 may configure a warning notification message corresponding to export, blocking, or delay and provide it to the administrator's user terminal 200 or the recipient terminal 20.
또한, 각 검사 결과는 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 구성된 보안 위협 정보 동기화 데이터로서 구성될 수 있다(S113).In addition, each scan result is synchronized with the targeted email security threat information configured according to the performance of the targeted email security threat inspection of incoming mail and the targeted email security threat information configured according to the performance of the targeted email security threat inspection of outgoing mail, It may be configured as configured security threat information synchronization data (S113).
한편, 도 6은 발신 메일의 표적형 이메일 공격 위협 검사 처리에 관한 것으로, 서비스 제공 장치(100)는, 발신 메일 정보를 수집한다(S201).Meanwhile, Figure 6 relates to a targeted email attack threat inspection process of outgoing mail, and the service providing device 100 collects outgoing mail information (S201).
이후, 서비스 제공 장치(100)는, 각 검사 결과는 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보가 동기화된 보안 위협 정보 동기화 데이터로부터, 현재까지 동기화된 보안 위협 정보를 획득한다(S203).Thereafter, the service providing device 100 determines that each test result includes targeted email security threat information constructed according to the performance of a targeted email security threat inspection of incoming mail, and targeted email security threat information constructed according to the performance of a targeted email security threat inspection of outgoing mail. From the security threat information synchronization data in which the email security threat information is synchronized, the security threat information synchronized to date is obtained (S203).
그리고, 서비스 제공 장치(100)는, 동기화된 보안 위협 정보를 이용하여, 발신 승인 시스템 기반의 정보 유출 위협 검사를 수행한다(S205).Then, the service providing device 100 uses the synchronized security threat information to perform an information leakage threat check based on the transmission approval system (S205).
이후, 서비스 제공 장치(100)는 동기화된 보안 위협 정보를 이용하여, 발신 메일의 필터링 검사 처리를 수행한다.Afterwards, the service providing device 100 uses the synchronized security threat information to perform a filtering inspection process on the outgoing mail.
그리고, 서비스 제공 장치(100)는, 발신 메일의 검사 결과를 이용하여, 메일 서버로의 반출, 차단 또는 지연을 결정한다(S209).Then, the service providing device 100 uses the inspection result of the outgoing mail to determine whether to export it to the mail server, block it, or delay it (S209).
나아가, 서비스 제공 장치(100)는, 반출, 차단 또는 지연에 대응하는 경고 알림 메시지를 구성하여 관리자의 사용자 단말(200) 또는 발신자 단말(10)로 제공할 수 있다.Furthermore, the service providing device 100 may configure a warning notification message corresponding to export, blocking, or delay and provide it to the administrator's user terminal 200 or the sender terminal 10.
도 7은 본 발명의 실시 예에 따른 대용량 파일 유출 검사 프로세스를 설명하기 위한 도면이다.Figure 7 is a diagram for explaining a large file leak detection process according to an embodiment of the present invention.
도 7을 참조하면, 본 발명의 일 실시 예에 따른 시스템은 발신자 단말(10), 제1 메일 관리 서버 장치(300), 메일 변환 처리 장치(30), 서비스 제공 장치(100), 망 연계 메일 승인 장치(500), 메일 복원 처리 장치(250), 제2 메일 관리 서버 장치(400) 및 수신자 단말(20)을 포함한다.Referring to FIG. 7, the system according to an embodiment of the present invention includes a sender terminal 10, a first mail management server device 300, a mail conversion processing device 30, a service provision device 100, and a network-linked mail. It includes an approval device 500, a mail recovery processing device 250, a second mail management server device 400, and a recipient terminal 20.
보다 구체적으로, 발신자 단말(10), 제1 메일 관리 서버 장치(300) 및 메일 변환 처리 장치(30)는, 내부망으로 분리된 보안 네트워크를 구성할 수 있다. 망이 분리된 보안 네트워크는, 망 연계 메일 승인 장치(500)를 경유하여야만 외부 네트워크로의 메일 전송이 가능한 네트워크로서, 이를 위한 다양한 네트워크 인터페이스 환경 기반의 보안화된 내부 네트워크 및 보안 장치들이 구축될 수 있다.More specifically, the sender terminal 10, the first mail management server device 300, and the mail conversion processing device 30 may form a secure network separated by an internal network. A security network with a separate network is a network that can transmit mail to an external network only through the network-connected mail approval device 500, and for this, a secured internal network and security devices based on various network interface environments can be built. there is.
이를 위해, 망 연계 메일 승인 장치(500)는, 내부망에서 메일 서버를 구축하는 제1 메일 관리 서버 장치(300)로부터, 외부 망으로 전송할 전자 메일 데이터의 승인을 요청받고, 사전 설정된 승인 정책과 비교하여 승인 및 보안 검증된 메일만 서비스 제공 장치(100)를 통해, 표적형 이메일 공격 차단을 위한 유출 검사를 처리하고, 외부 네트워크를 통해 제2 메일 관리 서버 장치(400) 등으로 반출 처리할 수 있다.To this end, the network-linked mail approval device 500 receives a request for approval of e-mail data to be transmitted to the external network from the first mail management server device 300, which builds a mail server in the internal network, and accepts a preset approval policy and By comparison, only approved and security-verified mail can be processed through a leak check to block targeted email attacks through the service providing device 100, and exported to the second mail management server device 400 through an external network. there is.
여기서, 사전 설정된 승인 정책은, 관리자 인증 정보가 확인되거나, 발신자에 대응하는 조직상 상급자의 승인이 확인되거나, 전자 메일 데이터에 보안이 취약한지 여부 등을 검사하는 등의 다양한 정책들이 복합적으로 적용되어 승인이 확인될 수 있다.Here, the preset approval policy is a complex application of various policies, such as verifying administrator authentication information, confirming approval from a superior in the organization corresponding to the sender, or checking whether e-mail data is vulnerable to security. Approval can be confirmed.
반대로 망 연계 메일 승인 장치(500)는, 외부망의 제2 메일 관리 서버 장치(400)를 통해 외부 사용자의 외부 메일이 내부망으로 수신된 경우에는 서비스 제공 장치(100)를 통해, 상기 외부 메일의 첨부파일 및 URL 보안 검사 등을 수행하여 검증된 메일만 내부망으로 반입하는 처리를 수행할 수도 있다.Conversely, when an external user's external mail is received in the internal network through the second mail management server device 400 of the external network, the network-linked mail approval device 500 sends the external mail through the service providing device 100. You can also carry out security checks on attachments and URLs to import only verified emails into the internal network.
이러한 내부망 시스템 및 망 연계 메일 승인 장치(500)의 동작과는 달리, 외부 네트워크에 위치한 메일 복원 처리 장치(250), 제2 메일 관리 서버 장치(400) 및 수신자 단말(20)은, 공중망(Public network)과의 연결을 통해 유선 및 무선 중 하나 이상으로 연결되어 데이터를 송수신할 수 있다. 상기 공중망은 국가 혹은 통신 기간 사업자가 구축 및 관리하는 통신망으로, 일반적으로 전화망, 데이터망, CATV망 및 이동 통신망 등을 포함하여 불특정 다수의 일반인이 타 통신망이나 인터넷에 접속 가능하도록 연결 서비스를 제공할 수 있다.Unlike the operation of the internal network system and the network-linked mail approval device 500, the mail recovery processing device 250, the second mail management server device 400, and the recipient terminal 20 located in the external network are operated by the public network ( Through connection to a public network, data can be transmitted and received through one or more of wired and wireless connections. The above-mentioned public network is a communication network built and managed by the state or a telecommunications carrier. It generally includes telephone networks, data networks, CATV networks, and mobile communication networks, and provides connection services so that an unspecified number of people can access other communication networks or the Internet. You can.
한편, 상기 발신자 단말(10), 제1 메일 관리 서버 장치(300), 메일 변환 처리 장치(30) 및 망 연계 메일 승인 장치(500)는 내부망에 상응하는 제1 프로토콜로 통신하기 위한 각각의 통신 모듈을 포함할 수 있다.Meanwhile, the sender terminal 10, the first mail management server device 300, the mail conversion processing device 30, and the network-linked mail approval device 500 are each configured to communicate using the first protocol corresponding to the internal network. May include a communication module.
또한, 상기 망 연계 메일 승인 장치(500), 메일 복원 처리 장치(250), 제2 메일 관리 서버 장치(400) 및 수신자 단말(20)은, 외부망에 상응하는 제2 프로토콜로 통신하기 위한 각각의 통신 모듈을 포함할 수 있다.In addition, the network-linked mail approval device 500, the mail recovery processing device 250, the second mail management server device 400, and the recipient terminal 20 are each configured to communicate using a second protocol corresponding to an external network. It may include a communication module.
이와 같이, 각 내부망 분리 보안 네트워크와, 외부 네트워크를 구성하는 각 장치들은 상호간 유/무선 네트워크를 통해 연결될 수 있으며, 각 네트워크에 연결된 장치 또는 단말들은 상호 보안화된 네트워크 채널을 통해 상호간 통신을 수행할 수 있다.In this way, each internal network separated security network and each device constituting the external network can be connected to each other through wired/wireless networks, and devices or terminals connected to each network communicate with each other through mutually secured network channels. can do.
여기서 상기 각 네트워크는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN), 부가가치 통신망(Value Added Network; VAN), 개인 근거리 무선통신(Personal Area Network; PAN), 이동 통신망(Mobile radio communication network) 또는 위성 통신망 등과 같은 다양한 종류의 유/무선 네트워크로 구현될 수 있다.Here, each of the above networks is a local area network (LAN), a wide area network (WAN), a value added network (VAN), a personal area network (PAN), and a mobile communication network ( It can be implemented with various types of wired/wireless networks, such as a mobile radio communication network or a satellite communication network.
그리고 발신자 단말(10) 및 수신자 단말(20)은, PC(personal computer), 노트북 컴퓨터(laptop computer), 휴대폰(Mobile phone), 태블릿 PC(Tablet PC), PDA(Personal Digital Assistants), PMP(Portable Multimedia Player) 등이 포함될 수 있으나, 본 발명은 이에 한정되지 아니하며 내부망, 공중망 또는 사설망 등을 통해 제1 메일 관리 서버 장치(300) 또는 제2 메일 관리 서버 장치(400)에 접속가능한 다양한 장치들이 예시될 수 있다. 이에 더하여 발신자 단말(10) 및 수신자 단말(20) 각각은 애플리케이션 구동 또는 웹 브라우징을 통한 정보의 입출력이 가능한 다양한 장치일 수 있다.And the sender terminal 10 and the receiver terminal 20 include personal computers (PCs), laptop computers, mobile phones, tablet PCs, personal digital assistants (PDAs), and portable devices (PMPs). Multimedia Player), etc., but the present invention is not limited thereto, and various devices that can be connected to the first mail management server device 300 or the second mail management server device 400 through an internal network, public network, or private network, etc. It can be exemplified. In addition, each of the sender terminal 10 and the receiver terminal 20 may be a variety of devices capable of inputting and outputting information through application operation or web browsing.
한편, 각 제1 메일 관리 서버 장치(300) 및 제2 메일 관리 서버 장치(400)는, 사용자가 작성한 메일을 발신하거나, 상대방이 작성한 메일을 수신할 수 있도록 전자 우편 내용을 중계 및 보관하는 시스템을 포함하며, 메일의 수신과 발신 처리라는 사용 목적에 따라 사전 설정된 메일 프로토콜을 활용하여 장치 상호간 통신을 수행할 수 있다. Meanwhile, each first mail management server device 300 and the second mail management server device 400 are systems that relay and store e-mail contents so that users can send e-mails written by them or receive e-mails written by the other party. It includes, and communication between devices can be performed using a preset mail protocol depending on the purpose of processing mail reception and transmission.
일반적으로 상기 메일 프로토콜은 메일의 수신 처리 시, POP3(Post Office Protocol 3), IMAP(Internet Message Access Protocol)이 사용될 수 있다. 또한 상기 프로토콜은 메일의 발신 처리 시, SMTP(Simple Mail Transfer Protocol) 또는 EML(Electronic mail) 프로토콜이 사용될 수 있다. 이와 같이, 각 제1 메일 관리 서버 장치(300) 및 제2 메일 관리 서버 장치(400)는, 각각의 분리된 망 내부에서 메일 송수신 처리를 위한 서버(server) 시스템으로 구성되어 각각 작동할 수 있다.In general, the mail protocol may be POP3 (Post Office Protocol 3) or IMAP (Internet Message Access Protocol) when processing mail reception. Additionally, when sending and processing mail, the Simple Mail Transfer Protocol (SMTP) or Electronic Mail (EML) protocol may be used. In this way, each of the first mail management server device 300 and the second mail management server device 400 can be configured and operate as a server system for mail transmission and reception processing within each separate network. .
이와 같은 시스템 구성에 있어서, 본 발명의 실시 예에 따른 메일 변환 처리 장치(30)는, 외부망과 분리된 보안 네트워크의 내부망에 위치할 수 있으며, 상기 내부망에 위치한 대용량 파일의 링크 정보를 포함하는 전자 메일을 변환하여, 서비스 제공 장치(100)를 통해, 표적형 이메일 공격 차단을 위한 유출 검사를 받은 후, 망 연계 메일 승인 장치(500)의 승인을 받아 외부망의 메일 복원 처리 장치(250)로 전달하는 기능을 처리할 수 있다.In such a system configuration, the mail conversion processing device 30 according to an embodiment of the present invention may be located in an internal network of a secure network separate from the external network, and may provide link information of large files located in the internal network. After converting the e-mail containing it, receiving a leak check to block targeted e-mail attacks through the service providing device 100, and receiving approval from the network-linked e-mail approval device 500, the e-mail recovery processing device of the external network ( 250) can be processed.
이를 위해, 먼저, 메일 변환 처리 장치(30)는, 상기 내부망에 위치한 발신자 단말(10)로부터 전송 요청된 전송 메일을 제1 메일 관리 서버 장치(300)를 통해 획득할 수 있으며, 상기 전송 메일로부터 상기 내부망에 위치한 대용량 파일의 링크 정보를 식별하고, 상기 링크 정보에 기초하여 상기 내부망에 위치한 대용량 파일을 획득할 수 있다.To this end, first, the mail conversion processing device 30 can obtain the transmission mail requested to be transmitted from the sender terminal 10 located in the internal network through the first mail management server device 300, and the transmission mail It is possible to identify link information of a large file located in the internal network and obtain a large file located in the internal network based on the link information.
그리고, 메일 변환 처리 장치(30)는, 상기 대용량 파일이 상기 전송 메일의 일반 첨부파일로 구분되도록 삽입된 변환 메일을 생성할 수 있는 바, 이러한 변환 메일은, 망 연계 메일 승인 장치(500)를 경유하여, 상기 외부망에 위치한 메일 복원 처리 장치(250)로 전송될 수 있게 된다.In addition, the mail conversion processing device 30 can generate a converted mail in which the large file is inserted so that it is classified as a general attachment file of the transmitted mail. This converted mail is generated using the network-linked mail approval device 500. Via this, it can be transmitted to the mail recovery processing device 250 located in the external network.
이 경우, 망 연계 메일 승인 장치(500)는, 사전 설정된 메일 발송 정책에 따라, 상기 일반 첨부파일로 구분되도록 삽입된 상기 대용량 파일의 보안 위험을 검사하고, 서비스 제공 장치(100)를 통해, 표적형 이메일 공격 차단을 위한 유출 검사를 받은 후, 상기 변환 메일의 발송을 승인 처리할 수 있으며, 승인 처리된 변환 메일은 제2 메일 관리 서버 장치(400)에 전달되기에 앞서, 본 발명의 실시 예에 따른 메일 복원 처리 장치(250)로 수신될 수 있다.In this case, the network-linked mail approval device 500 inspects the security risk of the large file inserted to be classified as the general attachment according to a preset mail sending policy, and targets the large file through the service providing device 100. After receiving a leak test to block email attacks, sending of the converted email can be approved, and the approved converted email can be processed before being delivered to the second mail management server device 400, according to an embodiment of the present invention. It can be received by the mail recovery processing device 250 according to.
메일 복원 처리 장치(250)는, 보안 네트워크의 내부망과 분리된 외부망에 위치할 수 있으며, 망 연계 메일 승인 장치(500)를 통해, 상기 내부망으로부터 변환 전송된 변환 메일을 수신하면, 서비스 제공 장치(100)를 통해, 표적형 이메일 공격 차단을 위한 유출 검사를 받은 후, 상기 변환 메일로부터 내부망의 대용량 파일이 복원된 복원 메일을 구성하고, 구성된 복원 메일을 제2 메일 관리 서버 장치(400)를 경유하여 수신자 단말(20)로 전달하는 복원 및 전달 프로세스를 수행할 수 있다.The mail recovery processing device 250 may be located in an external network separate from the internal network of the security network, and when receiving converted mail converted and transmitted from the internal network through the network-linked mail approval device 500, service After receiving a leak check to block targeted email attacks through the providing device 100, a restored email in which large files in the internal network are restored from the converted email is configured, and the configured restored email is sent to a second mail management server device ( A restoration and delivery process for delivering to the recipient terminal 20 via 400 can be performed.
보다 구체적으로, 메일 복원 처리 장치(250)는, 상기 변환 메일에 포함된 일반 첨부 파일 데이터로부터, 내부망의 대용량 파일을 획득할 수 있으며, 상기 내부망의 대용량 파일을 상기 변환 메일에서 분리하여, 암호화된 임의의 외부망 경로에 업로드 처리한다.More specifically, the mail recovery processing device 250 can obtain a large file of the internal network from the general attachment file data included in the converted mail, and separate the large file of the internal network from the converted mail, Upload to a random encrypted external network path.
그리고, 메일 복원 처리 장치(250)는, 상기 대용량 파일이 분리된 상기 변환 메일에, 상기 업로드된 외부망 경로 정보를 포함시켜 상기 변환 메일의 복원 메일을 구성하며, 구성된 복원 메일은 제2 메일 관리 서버 장치(400)로 전달되어 수신자 단말로 전송 처리될 수 있다.Then, the mail restoration processing device 250 configures a restored mail of the converted mail by including the uploaded external network path information in the converted mail from which the large file is separated, and the constructed restored mail is managed by the second mail management. It may be delivered to the server device 400 and transmitted to the recipient terminal.
이와 같은 시스템 구성에 따라, 외부망으로의 메일 반출이 불가능했던 내부망의 대용량 파일이 보안화된 전자메일 시스템을 통해 반출될 수 있도록 처리되며, 이러한 프로세스에 의해 메일 시스템 보안 체계를 그대로 활용하면서도, 외부망의 메일 수신측에서도 내부망의 대용량 파일을 쉽게 확인할 수 있도록 하는 메일 서비스가 구현될 수 있다.According to this system configuration, large files from the internal network that could not be exported to the external network are processed so that they can be exported through the secure email system. Through this process, the email system security system is utilized as is, while still utilizing the email system security system. A mail service that allows the mail recipient on the external network to easily check large files on the internal network can be implemented.
예를 들어, 내부망의 발신자 단말(10) 사용자가 메일로 반출할 파일을 일반 전자 메일의 대용량 파일 첨부로서 입력하기만 하면, 수신자 단말(20)에서는 발신 메일의 대용량 파일 첨부와 동일하게 복원되어 업로드된 대용량 파일을, 수신메일에 포함된 외부망 경로 정보로부터 획득할 수 있게 되므로, 실질적인 대용량 파일의 반출이 처리될 수 있다.For example, if the user of the sender terminal 10 of the internal network simply inputs a file to be exported as an email as a large file attachment to a general e-mail, the recipient terminal 20 restores it in the same way as a large file attachment to an outgoing email. Since uploaded large files can be obtained from external network path information included in received mail, actual export of large files can be processed.
또한, 이러한 외부망의 대용량 파일에 대한 접근권한 및 접속정보는 메일 복원 처리 장치(250)에서 관리될 수 있으므로, 기존의 클라우드 공유 서비스 등을 불가피하게 이용되던 취약한 보안 환경을 보완하고, 보다 편리하면서도 안전한 내부망 파일의 외부망 메일 전송을 가능하게 한다.In addition, since access rights and access information for large files of such external networks can be managed in the mail recovery processing device 250, it complements the weak security environment in which existing cloud sharing services were inevitably used, and provides a more convenient and Enables safe external network email transmission of internal network files.
도 8은 본 발명의 실시 예에 따른 대용량 파일의 정책 기반 승인 프로세스를 설명하기 위한 래더 다이어그램이다.Figure 8 is a ladder diagram to explain a policy-based approval process for large files according to an embodiment of the present invention.
도 8을 참조하면, 먼저 제1 메일 관리 서버 장치(300)는, 발신자 단말(10)의 메일 전송 요청을 수신하여, 메일 변환 처리 장치(30)로 전달한다(S1001).Referring to FIG. 8, first, the first mail management server device 300 receives a mail transmission request from the sender terminal 10 and transmits it to the mail conversion processing device 30 (S1001).
이후, 메일 변환 처리 장치(30)는, 전송요청된 메일로부터, 내부망 대용량 첨부파일에 대응하는 내부망 링크 정보를 식별한다(S1003).Thereafter, the mail conversion processing device 30 identifies internal network link information corresponding to the internal network large attachment file from the mail requested to be transmitted (S1003).
내부망 링크 정보 식별을 위해, 본 발명의 실시 예에 따른 메일 변환 처리 장치(30)는, 내부망 링크 식별부(110)를 통해 먼저 전송요청된 메일에 포함된 링크 정보(URL 또는 URI)를 추출하고, 링크 정보의 추적 검사를 수행할 수 있다.In order to identify internal network link information, the mail conversion processing device 30 according to an embodiment of the present invention first identifies link information (URL or URI) included in the mail requested to be transmitted through the internal network link identification unit 110. You can extract and perform traceability checks on link information.
보다 구체적으로, 메일 변환 처리 장치(30)는, 내부망 링크 식별부(110)를 통해, 상기 전송요청된 메일에 포함된 모든 링크 정보 또는 사전 설정된 내부망 경로로 지정된 지정 링크 정보(예를 들어, IP 주소가 내부망으로 설정된 사설 IP 주소로 시작되는 링크 정보)를 추출하고, 추출된 링크 정보에 접속하여 파일 다운로드 여부 및 파일의 크기를 검사할 수 있다.More specifically, the mail conversion processing device 30, through the internal network link identification unit 110, all link information included in the mail requested to be transmitted or designated link information designated by a preset internal network path (e.g. , link information whose IP address starts with a private IP address set to the internal network) can be extracted, and the extracted link information can be accessed to check whether the file is downloaded and the size of the file.
이에 따라, 메일 변환 처리 장치(30)의 내부망 링크 식별부(110)는, 파일 다운로드가 가능한 것으로 검사된 링크 정보 중 다운로드할 파일의 크기 정보를 식별하고, 그 크기 정보가 일정 크기 이상인 경우, 상기 내부망 대용량 첨부파일에 대응하는 링크 정보로 식별할 수 있다.Accordingly, the internal network link identification unit 110 of the mail conversion processing device 30 identifies the size information of the file to be downloaded among the link information checked as possible for file download, and when the size information is greater than a certain size, It can be identified by link information corresponding to the internal network large-capacity attached file.
예를 들어, 상기 일정 크기는 2메가바이트 인 것이 예시될 수 있으며, 내부망 링크 식별부(110)는 모든 링크 정보 또는 지정 링크 정보 중 상기 2메가바이트를 초과하는 내부망 파일을 다운로드하는 링크 정보를 추출하여, 상기 내부망 대용량 첨부파일에 대응하는 내부망 링크 정보로서 식별할 수 있다.For example, the certain size may be 2 megabytes, and the internal network link identification unit 110 may provide link information for downloading an internal network file exceeding 2 megabytes among all link information or designated link information. can be extracted and identified as internal network link information corresponding to the internal network large attached file.
그리고, 메일 변환 처리 장치(30)는, 내부망 링크로부터 대상 파일을 다운로드 처리하며, 전송 메일에서는 내부망 대용량 링크를 삭제 처리한다(S1005).Then, the mail conversion processing device 30 downloads the target file from the internal network link and deletes the internal network large capacity link from the transmitted mail (S1005).
이후, 메일 변환 처리 장치(30)는, 상기 대용량 링크가 삭제 처리된 상기 전송 메일에, 대상 파일을 일반 첨부 메일포맷의 첨부파일로서 포함시켜, EML 데이터를 구성한다(S1007).Thereafter, the mail conversion processing device 30 configures EML data by including the target file as an attachment in a general attached mail format in the transmitted mail from which the large link has been deleted (S1007).
그리고, 메일 변환 처리 장치(30)는, 망 연계 메일 승인 장치(500)로 상기 EML 데이터 기반 변환 메일의 전송 승인을 요청한다(S1009).Then, the mail conversion processing device 30 requests transmission approval of the EML data-based converted mail from the network-connected mail approval device 500 (S1009).
망 연계 메일 승인 장치(500)는, 서비스 제공 장치(100)를 이용한 대용량 파일의 표적형 이메일 공격 검사 처리를 수행하고(S1010), 사전 설정된 정책을 기반으로, 메일을 승인할지 판단할수 있으며(S1011), 승인이 거절되는 경우에는 거절 메시지를 제1 메일 관리 서버 장치(300)를 통해 발신자 단말(10)로 전달하며(S1013), 승인이 확인된 경우에는 변환 메일을 외부망의 제2 메일 관리 서버 장치(400)에 연결된 메일 복원 처리 장치(250)로 전송한다(S1015).The network-linked mail approval device 500 may perform targeted email attack inspection processing of large files using the service provision device 100 (S1010) and determine whether to approve the mail based on a preset policy (S1011). ), if approval is rejected, the rejection message is delivered to the sender terminal 10 through the first mail management server device 300 (S1013), and if approval is confirmed, the converted mail is sent to the second mail management of the external network. It is transmitted to the mail recovery processing device 250 connected to the server device 400 (S1015).
이후, 메일 복원 처리 장치(250)에서는, 상기 변환 메일의 일반 첨부파일로부터 대상 파일을 분리하여, 서비스 제공 장치(100)를 이용한 대용량 파일의 표적형 이메일 공격 검사 처리를 수행하고(S1016 ), 일반 메일로 복원 구성한다(S1017).Thereafter, the mail recovery processing device 250 separates the target file from the general attachment file of the converted mail, performs a targeted email attack inspection process on the large file using the service providing device 100 (S1016), and general Configure restoration via email (S1017).
그리고, 메일 복원 처리 장치(250)는, 상기 분리된 대상 파일을 임의 경로에 업로드 처리하며(S1019), 업로드 경로 정보에 접근가능한 웹 페이지를 구성한다(S1021).Then, the mail recovery processing device 250 uploads the separated target file to a random path (S1019) and configures a web page that allows access to the upload path information (S1021).
이후, 메일 복원 처리 장치(250)는, 상기 복원된 일반 메일의 첨부파일에 웹 페이지를 부가하고(S1023), 상기 복원된 일반 메일을 제2 메일 관리 서버 장치(400)를 통해, 수신자 단말(20)로 전달한다(S1025, S1027).Thereafter, the mail recovery processing device 250 adds a web page to the attachment file of the restored general mail (S1023), and sends the restored general mail through the second mail management server device 400 to the recipient terminal ( 20) and forwarded to (S1025, S1027).
본 발명의 실시 예에서 상기 업로드 경로 정보는 웹 페이지로서 부가되는 것이 예시되어 있으나, 본 발명은 이에 한정되지 아니하며 상기 업로드 경로 정보는 링크 정보, URL 텍스트 등 다양한 방식으로 상기 복원된 일반 메일에 첨부될 수 있다.In an embodiment of the present invention, the upload path information is illustrated as being added as a web page, but the present invention is not limited to this, and the upload path information may be attached to the restored general mail in various ways, such as link information and URL text. You can.
상술한 본 발명에 따른 방법은 컴퓨터에서 실행되기 위한 프로그램으로 제작되어 컴퓨터가 읽을 수 있는 기록 매체에 저장될 수 있으며, 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있다.The method according to the present invention described above can be produced as a program to be executed on a computer and stored in a computer-readable recording medium. Examples of computer-readable recording media include ROM, RAM, CD-ROM, and magnetic tape. , floppy disks, optical data storage devices, etc.
컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고, 상기 방법을 구현하기 위한 기능적인(function) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The computer-readable recording medium is distributed in a computer system connected to a network, so that computer-readable code can be stored and executed in a distributed manner. And, functional programs, codes, and code segments for implementing the method can be easily deduced by programmers in the technical field to which the present invention pertains.
또한, 이상에서는 본 발명의 바람직한 실시 예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시 예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형 실시가 가능한 것은 물론이고, 이러한 변형 실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어서는 안될 것이다.In addition, although preferred embodiments of the present invention have been shown and described above, the present invention is not limited to the specific embodiments described above, and the technical field to which the invention pertains without departing from the gist of the present invention as claimed in the claims. Of course, various modifications can be made by those skilled in the art, and these modifications should not be understood individually from the technical idea or perspective of the present invention.

Claims (20)

  1. 이메일 보안 시스템의 동작 방법에 있어서,In the method of operating an email security system,
    수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하는 단계;Security threat information synchronization data is created by synchronizing the targeted email security threat information configured according to the performance of targeted email security threat checks of incoming mail and the targeted email security threat information configured according to the performance of targeted email security threat checks of outgoing mail. configuring steps;
    상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하는 단계; 및Using the security threat information synchronization data, performing a targeted email security threat check corresponding to new received mail or new sent mail; and
    상기 신규 수신 메일 또는 상기 신규 발신 메일의 상기 표적형 이메일 보안 위협 검사에 따른 표적형 이메일 보안 위협 대응 처리를 수행하는 단계를 포함하고,Comprising the step of performing targeted email security threat response processing according to the targeted email security threat inspection of the new received mail or the new sent mail,
    신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사는, 상기 보안 위협 정보 동기화 데이터를 이용한, 특정 이메일 계정을 대상으로 하는 스팸 공격 위협 검사, 악성코드 이메일 공격 위협 검사, 사회공학적 이메일 공격 위협 검사, 이메일 정보 유출 위협 검사 중 적어도 하나를 포함하는Targeted email security threat scanning that responds to new incoming or newly sent emails includes spam attack threat screening targeting specific email accounts, malware email attack threat screening, and social engineering email attack using the above security threat information synchronization data. Contains at least one of the following: threat scan, email information leak threat scan
    이메일 보안 시스템의 동작 방법.How email security systems work.
  2. 제1항에 있어서,According to paragraph 1,
    상기 신규 수신 메일 또는 신규 발신 메일의 표적형 이메일 보안 위협 검사 결과에 따라, 상기 보안 위협 정보 동기화 데이터를 갱신하는 단계를 더 포함하는Further comprising the step of updating the security threat information synchronization data according to the results of the targeted email security threat inspection of the new received mail or the new sent mail.
    이메일 보안 시스템의 동작 방법.How email security systems work.
  3. 제1항에 있어서,According to paragraph 1,
    상기 보안 위협 정보 동기화 데이터는,The security threat information synchronization data is,
    악성코드 이메일 공격 위협 검사용 URL 최종 목적지 추적 검사 정보를 포함하는URL for malicious code email attack threat inspection Contains final destination tracking inspection information
    이메일 보안 시스템의 동작 방법.How email security systems work.
  4. 제1항에 있어서,According to paragraph 1,
    상기 보안 위협 정보 동기화 데이터는,The security threat information synchronization data is,
    사회공학적 공격 위협 검사용 헤더 위변조 검사 정보, 유사 도메인 검사 정보, 계정 탈취 검사 정보 중 적어도 하나를 포함하는Contains at least one of header forgery inspection information for social engineering attack threat inspection, similar domain inspection information, and account takeover inspection information.
    이메일 보안 시스템의 동작 방법.How email security systems work.
  5. 제1항에 있어서,According to paragraph 1,
    상기 보안 위협 정보 동기화 데이터는,The security threat information synchronization data is,
    이메일 정보 유출 검사용 고의적 정보 유출 검사 정보, 비고의적 정보 유출 검사 정보 중 적어도 하나를 포함하는Contains at least one of intentional information leak detection information and unintentional information leak detection information for email information leak detection.
    이메일 보안 시스템의 동작 방법.How email security systems work.
  6. 제5항에 있어서,According to clause 5,
    상기 신규 수신 메일 또는 상기 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하는 단계는,The step of performing a targeted email security threat check corresponding to the new received mail or the new sent mail,
    상기 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행함에 있어서, 상기 보안 위협 정보 동기화 데이터를 이용하여, 상기 신규 발신 메일의 수신자가 사기성 유사 메일 주소로 분류되는지 여부를 결정하는 단계를 포함하는In performing a targeted email security threat check corresponding to the newly sent mail, determining whether the recipient of the newly sent mail is classified as a fraudulent email address using the security threat information synchronization data. Comprising:
    이메일 보안 시스템의 동작 방법.How email security systems work.
  7. 제6항에 있어서,According to clause 6,
    상기 표적형 이메일 보안 위협 대응 처리를 수행하는 단계는,The step of performing the targeted email security threat response processing is,
    상기 수신자가 상기 사기성 유사 메일 주소로 분류된 경우, 상기 신규 발신 메일의 발송을 자동으로 차단하거나, 발신자에게 경고하는 단계를 포함하는If the recipient is classified as a fraudulent email address, automatically blocking the transmission of the new outgoing email or warning the sender.
    이메일 보안 시스템의 동작 방법.How email security systems work.
  8. 제5항에 있어서,According to clause 5,
    상기 신규 수신 메일 또는 상기 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하는 단계는,The step of performing a targeted email security threat check corresponding to the new received mail or the new sent mail,
    상기 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행함에 있어서, 상기 보안 위협 정보 동기화 데이터를 이용하여, 메일 정책에 따라 상기 신규 발신 메일에 일반 메일로 변환 첨부될 대용량 첨부 파일의 보안 위협 검사를 수행하는 단계를 포함하는In performing a targeted email security threat check corresponding to the newly sent mail, the security threat information synchronization data is used to check the security threats of large attachments that will be converted to regular mail and attached to the newly sent mail according to the mail policy. Containing steps to perform
    이메일 보안 시스템의 동작 방법.How email security systems work.
  9. 제8항에 있어서,According to clause 8,
    상기 표적형 이메일 보안 위협 대응 처리를 수행하는 단계는,The step of performing the targeted email security threat response processing is,
    상기 대용량 첨부 파일의 보안 위협 검사에 따라, 상기 일반 메일로 변환 첨부될 대용량 첨부 파일의 변환이 승인되는 단계를 더 포함하는Further comprising the step of approving the conversion of the large attachment to be converted and attached to the regular email according to the security threat check of the large attachment.
    이메일 보안 시스템의 동작 방법.How email security systems work.
  10. 이메일 보안 시스템을 이용한 서비스 제공 장치에 있어서,In a service provision device using an email security system,
    수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하는 보안 위협 정보 동기화 처리부;Security threat information synchronization data is created by synchronizing the targeted email security threat information configured according to the performance of targeted email security threat checks of incoming mail and the targeted email security threat information configured according to the performance of targeted email security threat checks of outgoing mail. A security threat information synchronization processing unit that configures;
    상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하는 표적형 이메일 보안 위협 검사부;a targeted email security threat inspection unit that uses the security threat information synchronization data to perform a targeted email security threat inspection corresponding to newly received or newly sent mail;
    상기 신규 수신 메일 또는 상기 신규 발신 메일의 상기 표적형 이메일 보안 위협 검사에 따른 표적형 이메일 보안 위협 대응 처리를 수행하는 메일 처리부를 포함하고,A mail processing unit that performs targeted email security threat response processing according to the targeted email security threat inspection of the new received mail or the new sent mail,
    신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사는, 상기 보안 위협 정보 동기화 데이터를 이용한, 특정 이메일 계정을 대상으로 하는 스팸 공격 위협 검사, 악성코드 이메일 공격 위협 검사, 사회공학적 이메일 공격 위협 검사, 이메일 정보 유출 위협 검사 중 적어도 하나를 포함하는Targeted email security threat scanning that responds to new incoming or newly sent emails includes spam attack threat screening targeting specific email accounts, malware email attack threat screening, and social engineering email attack using the above security threat information synchronization data. Contains at least one of the following: threat scan, email information leak threat scan
    이메일 보안 시스템을 이용한 서비스 제공 장치.A service provision device using an email security system.
  11. 제10항에 있어서,According to clause 10,
    상기 사회공학적 이메일 공격 위협 검사는, 상기 보안 위협 정보 동기화 데이터로부터 획득되는 누적 도메인 정보를 이용하여, 유사 도메인을 이용한 사회공학적 공격 위협을 검출하는 유사 도메인 검사를 포함하는The social engineering email attack threat check includes a similar domain check that detects social engineering attack threats using similar domains using accumulated domain information obtained from the security threat information synchronization data.
    서비스 제공 장치의 동작 방법.Method of operation of the service provision device.
  12. 제11항에 있어서,According to clause 11,
    상기 유사 도메인 검사는, 상기 보안 위협 정보 동기화 데이터로부터 획득되는 누적 도메인 정보를 이용하여, 상기 신규 수신 메일에 포함된 발신자 도메인이 누적 도메인 정보에 포함된 도메인과 일치하지 않으면서, 유사한지 여부를 단계적으로 검사하는 검사 프로세스를 포함하는The similar domain check uses accumulated domain information obtained from the security threat information synchronization data to determine, step by step, whether the sender domain included in the new received mail is similar to the domain included in the accumulated domain information without matching it. which includes an inspection process that checks with
    서비스 제공 장치의 동작 방법.Method of operation of the service provision device.
  13. 제11항에 있어서,According to clause 11,
    상기 유사 도메인 검사는, 상기 보안 위협 정보 동기화 데이터로부터 획득되는 누적 도메인 정보를 이용하여, 상기 신규 발신 메일에 포함된 수신자 도메인이 누적 도메인 정보에 포함된 도메인과 일치하지 않으면서, 유사한지 여부를 단계적으로 검사하는 검사 프로세스를 포함하는The similar domain check uses the accumulated domain information obtained from the security threat information synchronization data to determine whether the recipient domain included in the newly sent mail is similar to the domain included in the accumulated domain information in a step-by-step manner. which includes an inspection process that checks with
    서비스 제공 장치의 동작 방법.Method of operation of the service provision device.
  14. 제11항에 있어서,According to clause 11,
    상기 유사 도메인 검사는, 상기 보안 위협 정보 동기화 데이터로부터 획득되는 누적 도메인 정보를 이용하여, 상기 신규 발신 메일 또는 신규 수신 메일에 포함된 수신자 또는 발신자 도메인이, 누적 도메인 정보에 포함된 도메인과 일치하지 않으면서, 유사한지 여부를 단계적으로 검사하는 검사 프로세스를 포함하고,The similar domain check uses accumulated domain information obtained from the security threat information synchronization data, and if the recipient or sender domain included in the new sent mail or new received mail does not match the domain included in the accumulated domain information, Including a step-by-step inspection process to check whether they are similar,
    상기 단계적으로 검사하는 검사 프로세스는, 누적 도메인 정보에 포함된 도메인과 일치하지 않으면서, 유사한 것으로 검출된 유사 도메인의, 유사 글자 수 기반 유사 정도를 단계적으로 산출하며,The step-by-step inspection process calculates step by step the degree of similarity based on the number of similar characters of similar domains that are detected as similar and do not match domains included in the accumulated domain information,
    상기 표적형 이메일 보안 위협 검사를 수행하는 단계는, 상기 유사 글자 수 기반 유사 정도에 기초하여, 상기 신규 발신 메일 또는 신규 수신 메일의 유사 도메인 기반 사회공학적 이메일 공격 위협 레벨을 결정하는 단계를 더 포함하는The step of performing the targeted email security threat check further includes determining a threat level of a similar domain-based social engineering email attack of the new sent mail or new received mail based on the degree of similarity based on the number of similar characters.
    서비스 제공 장치의 동작 방법.Method of operation of the service provision device.
  15. 제10항에 있어서,According to clause 10,
    상기 사회공학적 이메일 공격 위협 검사는, 상기 보안 위협 정보 동기화 데이터로부터 획득되는 계정 탈취 검사 항목별 학습 데이터를 이용하여, 계정 탈취를 이용한 사회공학적 공격 위협을 검출하는 계정 탈취 검사를 포함하는The social engineering email attack threat test includes an account takeover test that detects social engineering attack threats using account takeover using learning data for each account takeover test item obtained from the security threat information synchronization data.
    서비스 제공 장치의 동작 방법.Method of operation of the service provision device.
  16. 제15항에 있어서,According to clause 15,
    상기 계정 탈취 검사는, 상기 보안 위협 정보 동기화 데이터로부터 획득되는 계정 탈취 검사 항목별 누적 학습 데이터를 이용하여, 상기 신규 발신 메일 또는 상기 신규 수신 메일이 탈취된 계정에 의해 발송되는 메일 인지 여부를 검사하는 검사 프로세스를 포함하는The account takeover test uses cumulative learning data for each account takeover test item obtained from the security threat information synchronization data to check whether the newly sent email or the new received email is sent by a hijacked account. including inspection process
    서비스 제공 장치의 동작 방법.Method of operation of the service provision device.
  17. 제16항에 있어서,According to clause 16,
    상기 계정 탈취 검사 항목별 누적 학습 데이터는, 수신 메일 또는 발신 메일의 메일 헤더로부터 획득되는 발신자 히스토리 정보를 포함하고,The accumulated learning data for each account takeover test item includes sender history information obtained from the mail header of incoming or outgoing mail,
    상기 계정 탈취 검사는, 상기 발신자 히스토리 정보의 누적 학습 데이터와, 상기 신규 발신 메일 또는 상기 신규 수신 메일의 발신자 위치 정보 또는 발신자 IP 정보를 비교하여, 상기 신규 발신 메일 또는 상기 신규 수신 메일이 탈취된 계정에 의해 발송되는 메일 인지 여부를 검사하는 검사 프로세스를 포함하는The account takeover test compares the accumulated learning data of the sender history information with the sender location information or sender IP information of the new sent mail or the new received mail, and determines the account from which the new sent mail or the new received mail was hijacked. Includes a checking process to check whether the mail is sent by
    서비스 제공 장치의 동작 방법.Method of operation of the service provision device.
  18. 제17항에 있어서,According to clause 17,
    상기 발신자 히스토리 정보는, 메일 발송 IP 및 메일 서버 IP 에 기초하여 구성되는, 초기 목적지(destination) 정보, 경유지(waypoint) 정보 및 최종 목적지(destination) 정보를 포함하고,The sender history information includes initial destination information, waypoint information, and final destination information, which are configured based on the mail sending IP and mail server IP,
    상기 계정 탈취 검사는, 상기 신규 발신 메일 또는 상기 신규 수신 메일의 헤더로부터 획득되는 초기 목적지(destination) 정보, 경유지(waypoint) 정보 또는 최종 목적지(destination) 정보를 비교하여, 상기 신규 발신 메일 또는 상기 신규 수신 메일이 탈취된 계정에 의해 발송되는 메일 인지 여부를 검사하는 검사 프로세스를 포함하는The account takeover test compares the initial destination information, waypoint information, or final destination information obtained from the header of the newly sent mail or the new received mail, and compares the new sent mail or the new received mail. Includes a scanning process to check whether incoming mail is sent by a hijacked account.
    서비스 제공 장치의 동작 방법.Method of operation of the service provision device.
  19. 제10항에 있어서,According to clause 10,
    상기 표적형 이메일 보안 위협 검사 결과에 따라, 상기 신규 수신 메일 또는 신규 수신 메일에 대응하는 진단 리포팅을 수행하는 단계를 더 포함하고,According to the results of the targeted email security threat check, further comprising performing diagnostic reporting corresponding to the new received email or newly received email,
    상기 진단 리포팅을 수행하는 단계는,The step of performing the diagnostic reporting is,
    상기 표적형 이메일 보안 위협 검사 결과에 기초하여, 위협 레벨 요소 분류 기준에 대응하는 항목별 스코어를 결정하는 단계를 포함하는Based on the results of the targeted email security threat inspection, determining a score for each item corresponding to the threat level element classification criteria.
    서비스 제공 장치의 동작 방법.Method of operation of the service provision device.
  20. 제19항에 있어서,According to clause 19,
    상기 진단 리포팅을 수행하는 단계는,The step of performing the diagnostic reporting is,
    상기 항목별 스코어를 이용하여, 표적형 이메일 공격 이메일 위험 스코어를 산출하는 단계;Calculating a targeted email attack email risk score using the scores for each item;
    상기 표적형 이메일 공격 이메일 위험 스코어에 대응하는 보안 등급을 결정하는 단계; 및determining a security level corresponding to the targeted email attack email risk score; and
    상기 결정된 보안 등급에 따라, 가이드 콘텐츠를 구성하여, 이메일 데이터에 삽입하는 단계를 더 포함하는Further comprising configuring guide content according to the determined security level and inserting it into email data.
    서비스 제공 장치의 동작 방법.Method of operation of the service provision device.
PCT/KR2022/019497 2022-08-04 2022-12-02 Email security system for blocking and responding to targeted email attack and operation method therefor WO2024029666A1 (en)

Applications Claiming Priority (8)

Application Number Priority Date Filing Date Title
KR20220097174 2022-08-04
KR10-2022-0097174 2022-08-04
KR10-2022-0151268 2022-11-14
KR1020220151268A KR20240019670A (en) 2022-08-04 2022-11-14 A email security system for preventing targeted email attacks processing a detection of social engineering attacks
KR10-2022-0151267 2022-11-14
KR1020220151267A KR20240019669A (en) 2022-08-04 2022-11-14 A email security system for preventing targeted email attacks
KR10-2022-0166583 2022-12-02
KR1020220166583A KR20240019673A (en) 2022-08-04 2022-12-02 A email security system for preventing targeted email attacks processing a detection of social engineering attacks

Publications (1)

Publication Number Publication Date
WO2024029666A1 true WO2024029666A1 (en) 2024-02-08

Family

ID=89849055

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2022/019497 WO2024029666A1 (en) 2022-08-04 2022-12-02 Email security system for blocking and responding to targeted email attack and operation method therefor

Country Status (1)

Country Link
WO (1) WO2024029666A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100161748A1 (en) * 2007-07-04 2010-06-24 Mitsuo Kojima Apparatus, a Method, a Program and a System for Processing an E-Mail
KR101117866B1 (en) * 2004-02-13 2012-03-09 마이크로소프트 코포레이션 Intelligent quarantining for spam prevention
KR101600864B1 (en) * 2015-04-08 2016-03-08 (주)이월리서치 A selective receiving method of e-mail
KR20220089459A (en) * 2020-12-21 2022-06-28 (주)기원테크 Device and its operation methods for providing E-mail security service using hierarchical architecture based on security level
US11392691B1 (en) * 2019-07-25 2022-07-19 Desmond Wilfred Wright System and method of securing e-mail against phishing and ransomware attack

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101117866B1 (en) * 2004-02-13 2012-03-09 마이크로소프트 코포레이션 Intelligent quarantining for spam prevention
US20100161748A1 (en) * 2007-07-04 2010-06-24 Mitsuo Kojima Apparatus, a Method, a Program and a System for Processing an E-Mail
KR101600864B1 (en) * 2015-04-08 2016-03-08 (주)이월리서치 A selective receiving method of e-mail
US11392691B1 (en) * 2019-07-25 2022-07-19 Desmond Wilfred Wright System and method of securing e-mail against phishing and ransomware attack
KR20220089459A (en) * 2020-12-21 2022-06-28 (주)기원테크 Device and its operation methods for providing E-mail security service using hierarchical architecture based on security level

Similar Documents

Publication Publication Date Title
US20220078197A1 (en) Using message context to evaluate security of requested data
US11936604B2 (en) Multi-level security analysis and intermediate delivery of an electronic message
US10326779B2 (en) Reputation-based threat protection
Mell et al. Guide to malware incident prevention and handling
JP6080910B2 (en) System and method for network level protection against malicious software
JP5845258B2 (en) System and method for local protection against malicious software
US9027135B1 (en) Prospective client identification using malware attack detection
WO2019118838A1 (en) Using a measure of influence of sender in determining a security risk associated with an electronic message
US20100154032A1 (en) System and Method for Classification of Unwanted or Malicious Software Through the Identification of Encrypted Data Communication
US20130246537A1 (en) System and method for monitoring social engineering in a computer network environment
US20080141342A1 (en) Anti-Phishing System
WO2022139078A1 (en) Apparatus for providing e-mail security service using hierarchical architecture based on security level and operation method therefor
US11392691B1 (en) System and method of securing e-mail against phishing and ransomware attack
WO2022114689A1 (en) Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same
EP4282129A1 (en) Preventing phishing attacks via document sharing
WO2022145501A1 (en) Device for providing protective service against email security-based zero-day url attack and method for operating same
WO2024019506A1 (en) Mail security processing device of mail access security system that provides access management and blocking function on basis of email communication protocol, and method for operating same
US20240176880A1 (en) Automated Identification of Malware Families Based on Shared Evidences
EP3195140B1 (en) Malicious message detection and processing
WO2023145995A1 (en) Email security diagnosis device based on quantitative analysis of threat elements, and operation method thereof
Rao et al. Security assessment of computer networks-an ethical hacker's perspective
WO2024029666A1 (en) Email security system for blocking and responding to targeted email attack and operation method therefor
WO2024029796A1 (en) Email security system for blocking and responding to targeted email attack, for performing unauthorized email server access attack inspection, and operation method therefor
Om Secure email gateway
Rm et al. A comprehensive approach for network security

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22954121

Country of ref document: EP

Kind code of ref document: A1